willkommen n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Willkommen PowerPoint Presentation
Download Presentation
Willkommen

Loading in 2 Seconds...

play fullscreen
1 / 21

Willkommen - PowerPoint PPT Presentation


  • 112 Views
  • Uploaded on

Willkommen. Security in (und rund um) TYPO3 Christian Kurta http://www.typoheads.com. Agenda. Security “Rund um TYPO3” LAMP / WAMP Ist TYPO3 eigentlich “secure”? Securing TYPO3 Make-me-weak! Stresstesting. Ist Security messbar?. Whitebox-Test Redbox-Test

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Willkommen' - baina


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
willkommen
Willkommen

Security in (und rund um) TYPO3

  • Christian Kurta

http://www.typoheads.com

agenda
Agenda
  • Security “Rund um TYPO3”
    • LAMP / WAMP
  • Ist TYPO3 eigentlich “secure”?
  • Securing TYPO3
  • Make-me-weak!
  • Stresstesting
ist security messbar
Ist Security messbar?
  • Whitebox-Test
  • Redbox-Test
  • Code Review – Speziell bei Extensions
  • Performance / Stresstest
security rund um typo3
Security Rund um TYPO3
  • Linux / Unix / Windows / OS X / ?
  • Apache
  • PHP
  • MySQL
linux unix windows
Linux / Unix / Windows
  • Nur absolut notwendige Programme installieren
      • (< TYPO3 3.6.0: cp, mv)
  • Firewall (!!!)
  • tuga-assholes
  • Kernel Sicherheit / Microsoft BSA
  • Windows Updates
linux
Linux
  • Vorsicht bei Dateiberechtigungen
  • Nicht installieren:
    • Kernel-source, gcc, make…
    • Wget, links, lynx, w3m …
    • Nc (Netcat), Etherreal …
  • UserMode Linux
  • Tripwire, Chkrootkit
  • Logfiles dezentral speichern
apache
Apache
  • Nur absolut notwendige Module kompilieren
  • SSL fürs Backend verwenden!
  • Vorsicht bei:
    • Directory Indexes
    • Includes
die wichtigsten php ini variablen 1 2
Die wichtigsten PHP.ini Variablen (1/2)

Safe_mode = On

Safe_mode_execdir = /meineexec/

>= TYPO3 3.6.0

Open_basedir = /www

alle TYPO3 Versionen

Register_globals = Off

die wichtigsten php ini variablen 2 2
Die wichtigsten PHP.ini Variablen (2/2)
  • Log_errors = On
  • Display_errors = Off
mysql security
MySQL-Security
  • Root-Passwort vergeben!
  • Port 3306 bei der Firewall blockieren
  • Dem TYPO3 Web keine Create, Drop, Grant usw Rechte geben.
  • Dem TYPO3 Web nur den lokalen Hostname erlauben (localhost, www1 – nicht %)
  • phpMyAdmin mit .htaccess sichern
    • (auch das von TYPO3)
mysql performance my cnf
MySQL-Performance (my.cnf)
  • Persist Connections = Off
  • Max Users Limit auf Limit von Apache setzen!
  • Weitere Vorschläge?
ist typo3 secure
Ist TYPO3 Secure?
  • Security Audit 2002 von Martin Eiszner
  • Backend-Passwörter: MD5-Hash+unique String – hard to guess
  • Backend-Sessions: 32bit MD5 Cookie -120min gültig
  • Frontend-Passwörter: Plaintext
    • “https enforcer” Extension
typo3 noch sicherer machen 1 2
TYPO3 noch sicherer machen (1/2)
  • /typo3-sourcecode mit .htaccess schützen
  • IPmaskList
  • lockToDomain bei BE-users/BE-groups
  • https fürs Backend – lockSSL = 1
  • Evtl typo3-Verzeichnis umbenennen
  • Keine SQL-Dumps speichern
  • Evtl localconf.php ausserhalb von webroot
typo3 noch sicherer machen 2 2
TYPO3 noch sicherer machen (2/2)
  • /typo3/dev Ordner löschen
  • Install-Tool mit die() Funktion versehen – oder löschen.
  • Kein HTML-Content-Element für BE-User – kein Button “HTML-Anzeigen” - XSS
  • Keine Installation von “Quickstart Package”
  • Warning_mode
  • Warning_Email_Addr
stresstest
Stresstest
  • Microsoft Application Test Center (im VisualStudio Paket enthalten -> Praxisbericht
  • PureLoad
  • Bonny
  • top
wie kann ich pr fen ob ich nicht allein bin
Wie kann ich prüfen, ob ich nicht allein bin?
  • w – Wer ist noch da?
  • lsof –pi -> Listet alle offenen Files & wer sie offen hat.
  • ps auxw -> Prozesse überwachen
  • Verdächtige Dateien im /tmp verz.
  • Im httpd-log nach 100% suchen
  • Chkrootkit
  • tripwire
links literatur
Links & Literatur
  • Inside Typo3 – Abschnitt: Security
  • www.k-otik.com
  • www.securityfocus.org
  • www.kernel.org
fragen antworten
Fragen / Antworten
  • Vielen Dank für Ihre Aufmerksamkeit.