LAMPSecurityToolkit – hasznos eszköz a LAMP eszközeink teszteléséhez

A LAMPSecurityToolkit egy nagyon friss fejlesztésű eszköz, szerintem óránként változik rajta valami, ezért egyelőre csak a létéről szerettem volna írni, mert nagyon tetszett az alapötlete és a kivitelezése is.

Telepítés

Le kell tölteni és bemásolni egy könyvtárba 🙂 Ennyi.

Amit tud és amit nem – egyelőre

A “LAMPSecurityToolkit” elnevezés szerintem kicsit önkorlátozó, főleg ha ilyen lelkesen fejlesztik tovább, ugyanis előfordulhat, hogy a Windows specifikus beállításokat is fel kell majd ismernie és az ugye már WAMP 🙂 Szerintem a PHPSecurityToolkit elnevezés ezért szerencsésebb lett volna, de ez részletkérdés.

A LAMPSecurityToolkit logikusan épül fel, a kezelőfelületén be lehet állítani, hogy milyen tesztek fussanak le – erről szerintem nem érdemes ennél többet írni, mert ha valaki elindítja, akkor azonnal nyilvánvalóvá válik minden beállítási lehetőség.

Ami nekem leginkább hiányzott, hogy nincs pontosan vezetve, hogy melyik PHP függvények vannak ellenőrizve – viszont minden teszthez van leírás, de az nem egy valódi log, hanem inkább csak egy támpont.

Nem tudtam például eldönteni, hogy a bináris fájlok indítására szolgáló ellenőrzés nézi-e a PHP-s dl() függvényt is – nyilván nem, mert egyrészt nem arra szolgál, hiszen ez csak a PHP bővítményeinek dinamikus betöltésére jó és a dokumentációban fel is vannak sorolva, hogy melyik függvényeket ellenőrzi a fent említett teszt, de lehetne valamilyen jelzés, hogy éppen mit ellenőriz, vagy egy nagyon részletes log fájl, amiben tételesen le van írva minden egyes teszt, minden egyes függvény hívási kísérlete és annak eredménye: PHP-s hibajelzéssel, saját megjegyzéssel együtt.

Ami még hiányzott az a CURL ellenőrzése, a proc_open() és proc_close() ellenőrzése, a show_source() ellenőrzése, a symlink() ellenőrzése (ez pl. Windows alatt nincs).

Érdemes kipróbálni, sokat segíthet egy ilyen eszköz lefuttatása és sem erőfeszítésbe, sem időbe nem kerül.

This entry was posted in Apache, biztonság, ellenőrzés, LAMPSecurityToolkit, php, PHP Security, testing. Bookmark the permalink.

2 Responses to LAMPSecurityToolkit – hasznos eszköz a LAMP eszközeink teszteléséhez

  1. Janoszen says:

    Először is köszönöm a híradást az eszközről, valóban elég friss még, így rengeteg dolog nincs még készen. Érdemes e tekintetben megnézni az erről szóló issue-kat a GitHubon: https://github.com/janoszen/LAMPSecurityToolkit/issuesA részletes logról szóló kérést felvettem a fejlesztési ütemtervbe, el is fogom készíteni, ha az alapvető funkciókkal végeztem. Az erről szóló issue itt van: https://github.com/janoszen/LAMPSecurityToolkit/issues/10Ami az ellenőrzéseket illeti, a proc_open függvényt a "Dangerous PHP functions" teszt ellenőrzi, a többi viszont valóban nincs felvéve.Én a cURL-t nem korlátoznám, hiszen manapság alig van alkalmazás, ami enélkül meg tud lenni és nem tudok ezzel kapcsolatos biztonsági gyengeségről, ami kód végrehajtáshoz vezet.A show_source függvény és a symlink függvény legjobb tudomásom szerint önmagában megint csak nem jelent biztonsági hibát, ellenben tudnék mindkettőre jogos felhasznállást mondani. Ha erről tudsz bővebb infót, légyszi nyiss egy issuet GitHubon a leírással.ÜdvJános

  2. xjan says:

    Okés, épp most küldtem neked egy mailt 🙂 a részletes loggolásról, elkezdtem megcsinálni 🙂

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s