NetBeat-Mitarbeiter
Anmeldedatum: 19.04.2006
Beiträge: 371
|
|
In den vergangenen Monaten haben wir festgestellt, daß in zunehmendem Maße Webspace-Pakete mißbraucht werden, um in großen Mengen Werbemails (Spam) oder betrügerische Mails (Phishing) über unsere Server zu versenden.
In der Regel ist dafür nicht der jeweilige Kunde verantwortlich, sondern Dritte, die in den meisten Fällen auf einem der folgenden Wege die Kontrolle über eine Webpräsenz erlangen:
Erlangung der FTP-Zugangsdaten und Einspielung der Versandprogramme per FTP
Es gibt zahlreiche Möglichkeiten, um an FTP-Zugangsdaten eines NetBeat-Accounts zu kommen:
1. Abhören des Netzwerkverkehrs in drahtlosen Netzen (WLAN)
2. Trojaner auf dem Rechner, die Tastatureingaben an den Eindringling weiterleiten
3. Einfach zu erratende Paßwörter
Um zu verhindern, daß Fremde auf diese Weise an Ihre FTP-Zugangsdaten kommen, verwenden Sie ein schwer zu erratendes Paßwort, das möglichst auch Zahlen, Groß- und Kleinbuchstaben enthält, und wechseln Sie es häufig. Generell empfiehlt sich natürlich auch die Installation eines Virenscanners und die Verschlüsselung von Datenverkehr in WLAN-Netzen.
Unsichere Standardskripte
Viele bekannte und beliebte Skripte, die von unseren Kunden häufig verwendet werden, beispielsweise Forensoftware oder Content Management Systeme, enthalten Sicherheitslücken, die dem Angreifer die Übernahme der Kontrolle über den Webspace erlauben.
Hier gilt: Aktualisieren Sie die Skripte, die Sie auf Ihrer Homepage verwenden, regelmäßig, wenn Sicherheitslücken gefunden wurden. Suchen Sie Alternativen für Skripte, die nicht mehr regelmäßig gewartet werden.
Sicherheitslücken in selbstprogrammierten Skripten
Es gibt eine Reihe von verbreiteten Programmierpraktiken, die sich von Dritten mißbrauchen lassen, um wiederum die Kontrolle über eine Webpräsenz zu erlangen. Die oberste Maxime lautet hier, jeglicher Benutzereingabe zu mißtrauen. Das bedeutet beispielsweise:
- Vertrauen Sie nicht darauf, daß als Wert für ein SELECT, SUBMIT, BUTTON, RADIO oder CHECKBOX-Formularelement auch wirklich nur der im HTML-Code hinterlegte Wert verwendet wird. Kontrollieren Sie immer, ob der übergebene Wert ein erlaubter Wert ist.
- Verwenden Sie, wenn Sie in PHP andere Dateien mit include() oder require() einbinden, nie direkt eine Benutzereingabe, beispielsweise:
| Code: | | include($_GET['page']); |
- Kontrollieren Sie, ob Benutzereingaben, die Sie in der Datenbank speichern möchten, Anführungszeichen oder Hochkommata enthalten. Bei PHP können Sie diese Zeichen mittels der Funktion mysql_real_escape() in eine unschädliche Version umwandeln.
- Sichern Sie Skripte, die nur von befugten Personen verwendet werden dürfen, mit Benutzername und Paßwort. |
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
