Sikkerhed ved ASP, PHP ig CGI

Sidste linie skulle naturligvis have været:
Hvordan sikrer jeg bedst, at de andre institutioner og eleverne via PHP, ASP og CGI IKKE bliver en sikkerhedsrisiko for hindanden og serveren?

De seneste sikkerhedsopdateringer fra MS er ubetinget nødvendige

Isoler serveren, så evt. skade ikke breder sig, begræns fildeling, netbios.
Brug en god firewall.
Brug gode og snedige passwords.

Jeg tænker mere konkret på, at jeg har hørt om, at man bevidst eller ubevidst vha. diverse scripts (ASP, CGI, PHP) kan komme til at lægge serveren ned og/eller få adgang til ressourcer man ikke skulle have adgang til.

Webserveren beskyttes naturligvis af en firewall (ligesom resten af netværket), og holdes opdateret med de nyeste patches, servicepacks o.lign.

Det bedste ville være at droppe IIS og anvende Apache...

...men det formoder jeg ikke, at I er interesseret i (?)

Helt generelt omrking CGI, er det afgørende at I anvender scripts, som er sikerhedsmæssigt godkendte. Undlad eksempelvis at lade brugere oprette egne cgi-scripts, medmindre de er godkendt af SYSADM. Allerbedst; installér selv de scripts, som skal bruges (formmail, search, guestbook, mv) og giv brugerne adgang til dem. Jeg kan anbefale nms (https://sourceforge.net/projects/nms-cgi/), som er udviklet med fokus på sikkerhed, af dygtige perl-udviklere.

En god start er O-Reilly's "Programming Perl, 3. edition" p557-584. Her er en lang række hints til security-handling.

enobe: Det lyder fornuftigt, og jeg har også checket dit link, men hvordan udpakker man tar.gz-arkiver?

tar.gz udpakkes med din almindelige windows zip.program

Processisolering, alle sikkerhedsoptdateringer og følg følgende anbefalinger

www.cert.org
www.nsa.gov
http://www.bufferzone.dk/Vidensbank/sikkerwebserver.htm

Hilsen
Kim fra http://www.bufferzone.dk