Im letzen Teil hatten wir uns zum Schluss noch etwas mit SQL-Injections und aehnlichem beschaeftigt.
Nun wollen wir den Bogen einmal zu den eigentlichen Dateien schlagen, welche ebenfalls gravierende Luecken enthalten koennen..
Datei-Manipulationen
Sicher habt ihr schon Websites gesehen, die Links hatten die folgendem aehnlich sehen: index.php?page=links.html
Die “index.php” included einfach die Seite “links.html” und zeigt sie dann an. Die Dateien hinten im Link kann ganz einfach geaendert werden.
Falls nun z.B. auf ihrem Webserver Apache laeuft und dieser mit mod_auth die Passwoerter in der “.htpasswd” speichert, koennte
ein Besucher ueber den Link index.php?page=.htpasswd die Benutzer und Passwoerter aus der Datei ausgeben lassen.
Erschreckend nicht?
Zum Glueck kann auch dies relativ einfach verhindert werden. Mit “allow_url_fopen = off” in der php.ini kann dies schon erschwert werden. Ausserdem sollte man die Dateien die ueber die index.php geladen werden koennen einschraenken, um solche unerwuenschten Nebeneffekte auszuschalten. 
Standard-Einstellungen benutzen
MySQL setzt den Benutzer root ein leeres Passwort nach der normalen Installation, der SQL-Server hat beim Benutzer sa ebenfalls als Standard kein Passwort hinterlegt.
Sollte nun jemand den Pfad der Datenbank-Installation herausfinden, ist es ihm ein leichtes Manipulationen an den Daten vorzunehmen, oder geheime Daten auszuspionieren.
Stellt bei jeder Software die ohne Passwort laeuft eines ein, um euch so vor boesen Ueberraschungen zu schuetzen.
Installations-Dateien
Viele PHP-Programme kommen mit einer eigenen Installation daher. Sehr praktisch. Auch fuer den Besucher falls die Installationsdateien, nach der Installation, immernoch auf dem Webspace zu finden sind. Diese User koennen ohne Probleme die Website so zerschiessen, also vorsicht!
Voraussagbarkeit
Nehmen wir nun einmal fuer eine Sekunde an, dass es ein boeser Hacker auf deine Seite abgesehen hat und deine Daten aus dem geschuetzten Bereich stehlen moechte.
Ich wage zu behaupten, dass dieser Hacker ziemlich sicher zuerst diese URL ausprobiert : http://www.deinewebsite.com/admin/
Um diesen offensichtlichen Administrationsbereich zu verstecken, muss ein Name gewaehlt werden, der fuer einen selber einpraegsam aber fuer andere nicht zu leicht zu erraten ist. http://www.deinewebsite.com/e14vs46ev184/ waere eine optimale URL, jedoch waere es ziemlich muehsam diese jedesmal einzugeben.
Was ebenfalls zu beachten ist, das es PHP-Software gibt die in der Fehlermeldung sagen, ob der User nicht vorhanden ist, oder nur das Passwort falsch eingegeben wurde.
Natuerlich waere es hier sicherheitstechnisch besser immer die gleiche Fehlermeldung auszugeben.
Hoffe auf euer Feedback und bis bald im naechsten Teil
