• Vorträge

    Viele Vorträge, die auf Konferenzen gehalten werden, landen irgendwo im Internet. Wir haben sie für euch zusammengesucht.

    • Installation von PHP erkennen (expose_php)

    von Nils Langner am 29. November 2008

    Wenn man versucht, die Schwachstellen einer Webseite ausfindig zu machen, dann ist der erste Schritt, den man gehen sollte, möglichst viel Information über das System, das man angreifen will zu sammeln.

    Will man verhindern, dass der Angreifer mitbekommt, dass auf dem Webserver PHP läuft und die Anwendung in dieser Sprache geschrieben wurde, dann gilt es zuerst die Dateiendungen von .php auf .htm oder vielleicht sogar .asp umzustellen. Hierzu sollte man das Apache Modul mod_rewrite verwenden. Aber wem sag ich das, ihr seid ja alles PHP Profis.

    Wir gehen jetzt also davon, dass wir nur noch html Dateien auf dem Server liegen haben. Dummerweise hat PHP die Eigenart, dass man auch jetzt noch erkennen kann, dass es sich um eine PHP Installation handelt. Hängt man an eine beliebige URL den Parameter ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 an, so erscheint das PHP Logo. Warum dies so ist, ich hab mal wieder gar keine Ahnung, aber es funktioniert.

    Das gute an diesem Feature ist, man kann es einfach ausschalten. Dazu bemüht man einfach die php.ini und schaltet den Parameter expose_php Parameter aus. Dies geht wir folgt:

    expose_php = 'off'

    Klingt einfach, ist es auch. Ist der Parameter erstmal umgesetzt, kann niemand mehr das PHP Logo auf magische Weise anzeigen lassen. Ich habs bei uns mal drinnen gelassen, denn rauszufinden, dass eine Webseite, die phphatesme heißt und ein Blog zum Thema php ist, sollte auch ohne Tricks möglich sein.

    Nils Langner Nils Langner

    Auch wenn Ihr es mir nicht glauben werdet, aber ich habe nichts gegen PHP. Ich rege mich einfach nur gerne auf. Ok so schlimm ist es auch nicht. Eigentlich wollte ich schon immer einen Blog haben und da ...

    Zum Profil von Nils Langner

    4 Kommentare »


    • Ralf Eggert
      am 29. November 2008 um 08:54 Uhr

      Zusätzlich sollte man dann noch drauf achten, ob der X-Powered-By Header gesetzt wird. Bei dir im Blog hier ist das z.B. PHP/5.2.0-8+etch10

      Keine Ahnung ob der Header durch expose_php = ‘off’ auch abgeschaltet wird.


    • Axel
      am 29. November 2008 um 12:09 Uhr

      Wird Apache als Webserver benutzt, sollte man folgende Einstellungen in seiner Konfiguration prüfen:

      ServerTokes –> Versionsinformationen im HTTP-Antwort-Header
      Default Wert ist Full, hier sollte man Prod einstellen.

      ServerSignature –> Erzeugt bei automatisch generierten Seiten ( Index ) eine Fußzeile mit Server Informationen. Der Wert sollte auf Off gesetzt sein.


    • Axel
      am 29. November 2008 um 12:10 Uhr

      Hi Ralf,

      expose_php ist auch für den HTTP Header X-Powered-By verantwortlich. Also wenn man expose_php auf off stellt verschwindet auch der Header.


    • Johannes
      am 30. November 2008 um 02:49 Uhr

      Wenn es aktiviert ist und PHP aktuell ist freut sich Damien, der regelmäßig seine Statistiken zur Verbreitung von PHP-Versionen auf Basis des X-Powered-By headers erstellt ;-)

      http://www.nexen.net/chiffres_cles/phpversion/18824-php_statistics_for_october_2008.php
      http://www.nexen.net/chiffres_cles/phpversion/18821-php_stats_evolution_for_october_2008.php

      Und in wie weit das sicherheitstechnisch wirklich relevant ist … im Zweifel achte ich eh nicht drauf und feuer, als Scrit-Kiddie, die volle Serie an möglichen Exploits ab …

    RSS-Feed für Kommentare zu diesem Artikel. TrackBack-URL

    Einen Kommentar hinterlassen

    Werbung
    PHP Magazin
    Ausgabe 02/2010

    Dieses Mal mit Artikeln zu den Themen OpenSocial und Apache Shindig, Graphentheorie, Smarty3

    t3n
    Ausgabe 19

    Social Media (R)evolution. Weitere Themen sind noSQL, Crowdsourcing ...

    PHP Journal
    Ausgabe 2/2010

    PHP & Windows optimal nutzen, die besten PHP-CMS im Überblick, Google-API mit Zend Framework nutzen.

    Wir wurden schon öfters gefragt, ob man uns nicht irgendwie unterstützen kann. Die Antwort war immer einfach: Klar! Am einfachsten ist es eure nächsten Einkäufe bei Amazon über unsere Link abzuwickeln. Damit würdet ihr uns schon sehr helfen. Über Co-Autoren freuen wir uns aber noch mehr.