Endspurt: PHP Sicherheitsbibliothek „SSEQ-LIB 0.5.0“

SSEQ_LIB Version 0.5.0

SSEQ-LIB ist eine Sammlung aktueller Funktionen, die es einem Angreifer schwer machen (oder ihn ganz daran hindern) eine Applikation oder Webseite die mit PHP & MySQL erstellt ist zu manipulieren oder zu kapern.

Die kommende Version 0.5.0 der Sicherheitsbibliothek befindet sich in der Endphase der Fertigstellung und kommt mit diesen Neuerungen:

  • Verschlankter CSRF-Schutz
  • Optimierte Protokollierung
  • Variablenfilter aus externer Datei

Hinzu kommen die bekannten Leistungsmerkmale:

  • Schutz vor Cross-Site-Scripting (single-byte und multi-byte)
  • Schutz vor SQL-Injection
  • Schutz vor Session-Fixation
  • Schutz vor Cross-Site-Request-Forgery
  • Schutz vor Mail-Header-Injection
  • Schutz vor HTTP-Header-Injection
  • Schutz vor Local/Remote-File-Inclusion
  • Schutz vor Globals-Overwrite
  • Schutz vor verräterischen Fehlermeldungen
  • Protokollierung von Angriffsversuche
  • Zwei-Zeilen-Basisschutz

Leistungsfähigkeit testen: Webapplikation mit und ohne SSEQ-LIB-Schutz

Insanely Simple Blog“ ist eine PHP-Applikation zum Verwalten eines Blogs. Sie ist quelloffen und diente als Beispiel für eine öffentliche und unzureichend gesicherte Webanwendung. Auf eine Standardinstallation wurde eine Analyse mit dem Schwachstellenscanner „IBM Rational AppScan“ durchgeführt. Es wurden dabei 35 gefährliche Schwachstellen entdeckt:

Entdeckte Schwachstellen in „Insanely Simple Blog“: 35

Schwachstellenliste:

  • XSS (Cross Site Scripting) : 14
    • reflexiv
    • persistent
  • SQL-Injections : 20

Was bewirkt der Einsatz von SSEQ-LIB?

Der „Zwei-Zeilen“-Basisschutz prüft anfällige Variablen auf gültigen Typ und Länge. Darüberhinaus werden diese im Vorfeld so behandelt, dass sie bei der weiteren Bearbeitung keinen Schaden mehr anrichten können. Das Resultat des Schwachstellenscanners „IBM Rational AppScan“ nachdem SSEQ-LIB mit nur zwei Zeilen Code in die getestete Anwendung eingebunden wurde, ist eindeutig. Nur noch die ungesicherte Passworteingabe wird bemängelt:

Entdeckte Schwachstellen in „Insanely Simple Blog“ + SSEQ-LIB: 1

Schwachstellenliste:

  • keine gefährlichen Schwachstellen

Der „Zwei-Zeilen“-Basisschutz

Mit nur zwei Zeilen wurde SSEQ-LIB in „Insanely Simple Blog“ integriert. Eine minimale Änderung des Quellcodes der Anwendung mit einem beachtlichen Zugewinn an Sicherheit.
<br />
<?
php
include_once('sseq-lib/seq_lib.php');
SEQ_SANITIZE('filter/insanely_simple.txt'true);
?><br />

Die Datei „insanely_simple.txt“ enthält die Filterinformationen für die anfälligen Variablen. Sie wurde mit Hilfe der gewonnenen Daten aus der Erstanalyse durch den Schwachstellenscanner erstellt.
Download „Insanely Simple Blog“ Filter

Wann kann SSEQ-LIB 0.5.0 heruntergeladen werde?

Das offizielle Release von SSEQ-LIB 0.5.0 findet im Laufe der Woche 30.03 – 05.04 an dieser Stelle statt.

Das könnte dich auch interessieren …