PHP Magazin 4.11 - Security Workshop "Zugriffsfehler"

Links zum Artikel:

Anleitung zum Security-Workshop

Praktische Beispiele

Unter http://it-republik.de/php/php-magazin-ausgaben/ finden Sie ein VMware-Image mit einer vorbereiteten Debian-Installation, die Sie für eigene Experimente verwenden können. Installiert ist nur der Webserver, keine grafische Oberfläche! Regelmäßige Leser des PHP User und PHP Magazins kennen dieses Image bereits: Es kam bereits mehrmals für Demonstration zum Einsatz, z.B. von ModSecurity und PHPIDS, die immer noch installiert, allerdings deaktiviert sind.

Das Image aus Heft 5.10 aktualisieren

Sie können auch das Image von der Heft-CD des PHP Magazin 5.10 aktualisieren. Die nötigen Dateien, die Sie ebenso natürlich auch auf einem eigenen lokalen Server installieren können, finden Sie auf der Heft-CD sowie unter http://www.ceilers-it.de/phpmag/411.tar. Für die Aktualisierung des Images gehen Sie folgendermaßen vor:

Damit ist die Installation abgeschlossen.

Die Linux-Installation

Es gibt 2 Benutzer: root mit dem Passwort root und testuser mit dem Passwort testuser. Sämtliche Einstellungen wurden unverändert übernommen, d.h.: Das System ist in keiner Weise besonders abgesichert.

Für MySQL wurden ebenfalls 2 Benutzer angelegt: root mit dem Passwort root und phpuser mit dem Passwort phpuser.

phpMyAdmin finden Sie unter /phpmyadmin.

Die IP-Adresse wurde fest auf 192.168.68.132 eingestellt.

Die Demos

Die Skripte liefern in zwei Fällen einen MySQL-Fehler: Beim Registrieren eines neuen Benutzers und beim Anlegen eines neuen Autors. Der Einfachheit Halber erfolgt dabei im Skript zur Zeit keine Prüfung, ob der gewünschte Benutzername bereits existiert. Da der eindeutig sein muss, wird der Versuch, einen neuen Eintrag mit bereits vorhandenem Benutzernamen anzulegen, mit der Fehlermeldung
MySQL-Fehler: 1062: Duplicate entry 'Benutzername' for key 'Benutzer_Name'
quittiert. In dem Fall verwenden Sie einfach einen anderen Benutzernamen, sofern sie wirklich mehrere zusätzliche Benutzer anlegen möchten.

Sämtliche Demos können über die Startseite des Webservers aufgerufen werden, die auch eine Anleitung enthält. Sie können die Angriffe direkt vom VMware-Image aus durchführen. Sie finden alle Skripte einschließlich der Angriffe auch als TAR-Archiv direkt auf der CD. Im Archiv befindet sich auch eine Anleitung, praktischerweise in der Datei index.html, von der aus Sie dann auch die Angriffe aufrufen können.


Startseite
Impressum
Datenschutzerklärung