PHP Magazin 6.11 - Security Workshop "Schwachstellenscanner"

Links zum Artikel:

Außerdem finden Sie hier auch die Protokolle der Scanner als ZIP-Archive.

Anleitung zum Security-Workshop

Praktische Beispiele

Unter http://it-republik.de/php/php-magazin-ausgaben/ finden Sie ein VMware-Image mit einer vorbereiteten Debian-Installation, die Sie für eigene Experimente verwenden können. Installiert ist nur der Webserver, keine grafische Oberfläche! Regelmäßige Leser des PHP User und PHP Magazins kennen dieses Image bereits: Es kam bereits mehrmals für Demonstration zum Einsatz, z.B. von ModSecurity und PHPIDS, die immer noch installiert, allerdings deaktiviert sind.

Damit die Schwachstellenscanner sich ganz auf die Webanwendung konzentrieren können, wurden diesmal phpMyAdmin und die Online-Dokumentation des Webservers ausgeschaltet und das Verzeichnis /icons entfernt.

Da einige der Tests ziemlich zerstörerisch sind und Unmengen unsinniger Einträge anlegen, sollten sie für jeden Test eine separate virtuelle Maschine verwenden.

Das Image aus Heft 5.10 aktualisieren

Sie können auch das Image von der Heft-CD des PHP Magazin 5.10 aktualisieren. Die nötigen Dateien, die Sie ebenso natürlich auch auf einem eigenen lokalen Server installieren können, finden Sie auf der Heft-CD sowie unter http://www.ceilers-it.de/phpmag/611.tar. Für die Aktualisierung des Images gehen Sie folgendermaßen vor:

Damit ist die Installation abgeschlossen. Jetzt sind noch einige Änderungen an der Konfiguration notwendig, damit die Scanner sich auf die Webanwendung konzentrieren können:

Die Linux-Installation

Es gibt 2 Benutzer: root mit dem Passwort root und testuser mit dem Passwort testuser. Sämtliche Einstellungen wurden unverändert übernommen, d.h.: Das System ist in keiner Weise besonders abgesichert.

Für MySQL wurden ebenfalls 2 Benutzer angelegt: root mit dem Passwort root und phpuser mit dem Passwort phpuser.

phpMyAdmin wurde deaktiviert, s.o..

Die IP-Adresse wurde fest auf 192.168.68.132 eingestellt.

Die Demos

Die Skripte liefern in zwei Fällen einen MySQL-Fehler: Beim Registrieren eines neuen Benutzers und beim Anlegen eines neuen Autors. Der Einfachheit Halber erfolgt dabei im Skript zur Zeit keine Prüfung, ob der gewünschte Benutzername bereits existiert. Da der eindeutig sein muss, wird der Versuch, einen neuen Eintrag mit bereits vorhandenem Benutzernamen anzulegen, mit der Fehlermeldung
MySQL-Fehler: 1062: Duplicate entry 'Benutzername' for key 'Benutzer_Name'
quittiert. In dem Fall verwenden Sie einfach einen anderen Benutzernamen, sofern sie wirklich mehrere zusätzliche Benutzer anlegen möchten.

Für die Installation der Scanner ziehen Sie bitte die jeweilige Dokumentation zu Rate. Im Wesentlichen reicht es aus, die Programmarchive zu entpacken.
Wie Sie die Tests durchführen, wurde im Artikel beschrieben. Außerdem können Sie sich an den Konsolenprotokollen orientieren, die Sie sowohl auf der Heft-CD als auch hier finden.


Startseite
Impressum
Datenschutzerklärung