Knowledgebase:Sicherheit

From Cloudrexx Development Wiki
Jump to: navigation, search

Intrusion-Detection-System

Angriffe gegen eine Webanwendung können durch die Vermeidung von Sicherheitslücken während der Implementation oder durch den Einsatz von vorgeschalteten Web Applikation Firewalls abgewehrt werden. Contrexx beinhaltet ein eigenes Intrusion-Detection-System auf Applikationsebene, welches die Webanwendung von den folgenden Sicherheitsrisiken schützt:

  • Injection [1]
    • SQL-Injection
    • Pfad - Directory Traversal
    • Code-Execution
    • OS Access
  • Session-Hijacking [2]
  • Cross-Site Scripting (XSS) [3]
  • Cross-Site Request Forgery (CSRF) [4]

PHP Safe Mode

Im Gegensatz zu den meisten Web Content-Management-Systemen wurde Contrexx für den PHP Safe Mode optimiert und läuft deshalb auch auf gemeinsam genutzten Web-Servern sicher.

Datenschutz

Sensitive Daten werden mittels Benutzername, Passwort (geprüfte Komplexität) und CAPTCHA-Schutz geschützt, damit Sie nur von autorisierten Personen freigegeben oder editiert werden können [5][6].

Zur Protokollierung von Störungen wird ein zentralisierter Kanal eingesetzt. Dadurch wird verhindert, dass Fehlerausgaben (Stack-Trace / Umgebungsvariablen) direkt dem Benutzer angezeigt werden [7].

Sicherheit

Kennwörter werden in der Datenbank nicht in Plaintext (Algorithmus MD5-Einweg Hash) abgespeichert [8].

Die eingesetzten Drittherstellerbibliotheken werden periodisch auf die neuste Version aktualisiert, um allfällig bekannte Sicherheitslücken zu schliessen [9].

Das System reinigt alle Anfrageparameter (URL-Modifikatoren) bevor diese wieder ausgegeben werden. Dadurch wird verhindert, dass die Webapplikation als Web-Proxy missbraucht werden kann [10].

Bemerkungen

Das Contrexx Content Management System wurde von Christopher Kunz, einem der Mitbegründer des Hardened-PHP Teams geprüft. Dank seiner Hilfe konnte der Security-Layer von Contrexx optimiert und an die neusten Erkenntnisse angepasst werden.

OWASP

Contrexx ist gegen die Top 10 von Sicherheitsrisiken bei einer Web-Applikation gemäss OWASP Top 10 2013 geschützt.

Penetrationtest und weitere Informationen