Zu den lästigen Aufgaben von PHP-Sicherheitsprüfungen zählt zweifelsohne die Prüfung auf eine unsichere PHP-Konfiguration. SektionEins, ein international tätiges Sicherheitsunternehmen mit Sitz in Köln, hat dankenswerterweise ein Skript erstellt das Systemadministratoren sowie Sicherheitsfachleuten hilft den Zustand der php.ini Konfigurationsdatei sowie alle PHP-Einstellungen schnell zu beurteilen.
phpinfo(), phpsecinfo(), pcc
Genau wie phpinfo() soll der PCC einen kurzen Überblick über die sicherheitsrelevanten Konfigurationsprobleme geben. Eine anderes Projekt ist PHPSecInfo, das allerdings 2007 eingestellt worden ist.
Features des PHP Secure Configuration Checker
Der PHP Secure Configuration Checker ist einfach zu handhaben, er besteht nur aus einer Datei. Weitere Features sind:
- Eine Datei zur einfachen Handhabung
- Einfache Tests zur Überprüfung der Einstellungen
- Kompatibel mit PHP >= 5.0
- Verwendet keine komplizierten Klassen, Frameworks, Abhängigkeiten oder Bibliotheken
In der HTML-Ausgabe werden alle Empfehlungen in Farbcodes nach Schweregrad geordnet. Eine Statuszeile zeigt die Anzahl der Probleme, damit man auf einen Blick sieht ob es kritisch ist, oder man sich entspannt zurück lehnen kann.
Download
Die erste (aber umfassende) Entwicklungsversion kann von GitHub heruntergeladen werden: https://github.com/sektioneins/pcc. Eine detailiertere Vorstellung gibt es unter https://www.sektioneins.de/en/blog/14-08-21-php-secure-configuration-checker.html.
Anwendung
Die Anwendung ist relativ einfach. Die Datei einfach in das Root Verzeichnis ihrers Webservers legen. Danach einfach die Datei im Browser aufrufen (z.B.: www.beispiel.de/phpconfigcheck.php) und schon erhält man das Ergebnis präsentiert.
Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.