Methoden zur Website Infiltrierung
|
27. April 2010
Posted in
Tipps und Tricks -
Webmaster
| Beitragsseiten |
|---|
| Methoden zur Website Infiltrierung |
| sql-injection |
| remote-file-inclusion |
| cross-site-scripting |
| Alle Seiten |
Wer eine eigene Web-Präsenz hat, ob kleine Homepage oder großes Portal, kann Opfer eines Angriffes werden und muss damit rechnen, dass jemand die Webseiten auf dem Server manipuliert. Möglich werden dadurch z. B. das Einschleusen von Viren, das Fälschen von Informationen oder das Verbreiten von Dateien mit illegalem Inhalt.
Für die Betreiber und Verantwortlichen derart missbrauchter Server kann das schmerzliche materielle und immaterielle Folgen haben - deshalb sollte man seine Webseiten konsequent überwachen und die gebräuchlichsten Methoden kennen.
Bei der Absicherung von Websites gibt es 2 Variablen, auf die ich als "normaler" Webmaster nicht wirklich Einfluß habe:
Welcher Webserver wird eingesetzt? Da heute in aller Regel PHP als Scriptsprache und MySQL als Datenbank zur Seitengenerierung herangezogen wird, muß ich natürlich mein Augenmerk auch auf diese Variablen richten.
Diese Komponenten sollten immer aktuell sein....nur habe ich darauf keinen wirklichen Einfluß, da ein Hoster sich unter Umständen weigert, die Software upzudaten (wie es z.B. vor Jahren Strato hartnäckig getan hat)....da bleibt als letzte Konsequenz nur, den Hoster zu wechseln.
Einfluß habe ich jedoch auf die für meine Seite eingesetzte Software, z.B. Forensoftware.
Hier gibt es zwar viel kostenlos erhältliche Software aus dem Open Source Bereich, die weite Verbreitung macht sie aber auch zu einem bevorzugten Angriffsziel.
Wie beim Betriebssystem auf dem lokalen Rechner gilt auch hier: Sicherheitsupdates unbedingt zeitnah einspielen!
Viele Communitys der verbreiteten Systeme wie z.B. Joomla informieren darüber in Forum, in Newslettern oder per RSS-Feed.
Diese Informationen sollte jeder Webmaster abonnieren bzw. regelmäßig im dazu gehörenden Forum nach neuen Beiträgen schauen.
Dafür braucht man kein Wissen, wie man PHP und MySQL programmiert und einsetzt (obwohl das Wissen darum sehr von Vorteil ist), sondern ich muß nur wissen, wie ich die vorhandene Version aktualisieren kann.....dafür liest man sich die immer beiliegende Readme-Datei durch, bevor man anfängt.
Am besten nimmt man die Seite kurzfristig vom Netz, aktualisiert die Software und testet die Seite, bevor man sie wieder online schaltet.
Viele Software bietet dafür die Möglichkeit, die Site offline zu schalten, sie ist dann für Besucher nicht mehr erreichbar.
Ebenso bietet es sich an, Trockenübungen mit einem lokal installiertem Webserver ohne Netzzugang nach Außen zu machen.
Neben der eigentlichen Software (Joomla, TYPO3, Drupal, Wordpress,...) müssen natürlich auch die Erweiterungen, die man einsetzt, aktuell gehalten werden.
Bitte beachtet die Nutzungsbedingungen
Zu beachten sind auch diese Regeln.
Wer sich nicht an diese Regeln hält, bekommt das Schreibrecht für eine gewisse Zeit entzogen.
Dauerndes Verstoßen gegen die Regeln zieht eine Sperrung des Zugangs nach sich.