Sicherheitsmängel in PHP-Sourcecode (Hypertext Preprocessor) erkennen

Fortify bietet den bislang einzigen statischen Sicherheits-Analyzer für PHP

(11.01.08) - Mit dem neuen Release 5.0 von SCA stellt Fortify das nach eigenen Angaben industrieweit erste und bisher einzige statische Code-Analyse-Tool vor, das Sicherheitsmängel in PHP-Sourcecode (Hypertext Preprocessor) erkennt.

Brian Chess, Wissenschafts-Chef der auf Sicherheitslösungen spezialisierten Firma Fortify Software, erläutert dieses Problem: "PHP-Code muss sauber implementiert werden: Statische Analyse-Tools können dabei helfen, Mängel im Softwarecode zu erkennen, bevor eine Anwendung vollständig fertiggestellt ist."

PHP ist eine weit verbreitete Programmiersprache, die bei der Entwicklung von Webseiten und Unternehmens-Anwendungen in den letzten Jahren einen immer größeren Anteil gewonnen hat. Inzwischen sind mehr als ein Drittel aller Webseiten mit Hilfe von PHP codiert (Quelle: http://www.nexen.net/chiffres_cles/phpversion/17756-php_stats_evolution_for_october_2007.php), gibt es aktuell weltweit 4,5 Millionen PHP-Entwickler (Quelle: Zend Technologies), sorgt das wachsende Interesse an der LAMP-Infrastruktur (Linux, Apache, MySQL and PHP) dafür, dass PHP zur bevorzugten Programmiersprache für viele B2C- und sogar B2B-Anwendungen geworden ist.

Allerdings stehen den vielen Vorteilen von PHP ernsthafte Sicherheitsrisiken gegenüber. So wurden laut CVE (Common Vulnerabilities and Exposures) im Jahre 2007 mehr als 1.000 Sicherheits-verletzungen bei PHP-Programmen gemeldet.

Die fünf häufigsten Sicherheitsprobleme sind laut OWASP (Open Web Application Project):

· Remote Code-Ausführung,

· Cross-Side-Scripting,

· SQL-Injection,

· PHP-Konfiguration,

· Angriffe auf das Dateisystem.

(Quelle: http://www.owasp.org/index.php/PHP_Top_5)

Die PHP-Funktion des neuen Releases von Fortify SCA erkennt diese fünf OWASP-Sicherheitsrisiken.

(Fortify: ra)