www.lowcodeapp.de - Beschleunigung der digitalen Transformation mit Open Source Low-Code Development.

MKSANITIZEDPARAMETERS: Automatische Bereinigung sicherheitsrelevanter Parameter in TYPO3

Logo der TYPO3 Extension MK Sanitized Parameters

Sicherheit heute und in Zukunft: Unsere neu entwickelte Extension MKSANTIZEDPARAMETERS schützt TYPO3-Webseiten durch Parameter-Bereinigung zuverlässig vor bösartigen Eingaben und unbekannten Sicherheitslücken.

Wird Ihre Website in diesem Moment angegriffen? Das lässt sich herausfinden: Unsere TYPO3-Extension MKPHPIDS protokolliert automatisch sämtliche Auffälligkeiten, bei besonderen Unregelmäßigkeiten wird die Nutzeranfrage abgebrochen. Allerdings bereinigt und filtert die Extension keine bösartigen Eingaben (etwa MySQL Injections).

Unsere neu entwickelte Extension MKSANTIZEDPARAMETERS tut genau das: Vor der Verarbeitung in TYPO3 bereinigt die Extension alle Parameter in $_GET, $_POST und $_COOKIE von unerwünschten Eingaben, sowohl im Frontend als auch im Backend. Damit wird der Angriff prinzipiell verhindert, sofern die Parameter zuvor umfassend konfiguriert worden sind.  

Und auch hier leistet unsere Extension Vorschub: MKSANITIZEDPARAMETERS ermöglicht Entwicklern, die Konfiguration eines Parameter-Datentyps an einem zentralen Ort zu kontrollieren. Etwa muss zur Bearbeitung des numerischen Parameters $_GET[uid] nicht jedes Mal die Funktion intval() aufgerufen werden, wenn er in einer MySQL Query verwendet wird.  Stattdessen lassen sich zulässige und unzulässige Werte zentral konfigurieren. So können Parameter an jeder Stelle direkt verwendet werden, ohne im selben Moment über etwaige bösartige Eingaben von außen nachdenken zu müssen. 

Unbegrenzte Konfigurationsmöglichkeiten

Dabei lässt sich die automatische Bereinigung nicht nur per Parameter konfigurieren. Auch Einstellungen für spezielle Positionen im Parameter Array  (z.B. $_GET[myextension][myparameter]) und bestimmte Parameternamen (z.B. uid), ungeachtet der Position, sind möglich. Um auch unbekannte Sicherheitslöcher stopfen, kann die Konfiguration für sämtliche Parameter synchron vorgenommen werden. Um etwa MySQL Injections auszuschließen, kann der Parameter uid per default als Zahl bereinigt werden, während alle anderen Parameter gleichzeitig als String bereinigt werden (um HTML oder Javascript zu entfernen). 

Durchgeführt wird die Bereinigung automatisch mithilfe der PHP-Filterfunktion. Dabei kann nicht nur der vorhandene Funktionsumfang genutzt werden, auch eigene Filter lassen sich bereitstellen. Neben der eigentlichen Bereinigung verfügt die Funktion über einen Stealth-Modus, in dem der Bereinigungsvorgang zunächst nur simuliert und dokumentiert wird. So lassen sich von vornherein diejenigen Parameter identifizieren, die im System verwendet werden. 

Sämtliche Bereinigungen werden mitgeloggt – im Debug-Modus erscheinen alle vorgenommenen Bereinigungen sogar direkt auf dem Bildschirm. Dies ist insbesondere bei der Entwicklung hilfreich. Zusätzlich bietet eine Programmierschnittstelle die Option, schnell und einfach eigene Regeln für die Bereinigung hinzuzufügen. Einstellungen für zu bereinigende Parameter sind also sehr komfortabel möglich, die Konfigurationsmöglichkeiten sind fast unbegrenzt.  In Kombination mit MKPHPIDS schützt unsere Extension TYPO3-Websiten damit zuverlässig vor Hackerangriffen aller Art. 

Die Extension MKSANTIZEDPARAMETERS ist wie immer im TYPO3 Extension Repository als Download verfügbar. 

Sie haben spezielle Anforderungen an die Sicherheit Ihrer TYPO3-Plattform oder benötigen eine individuelle TYPO3-Erweiterung? Als Digitalagentur haben wir jahrelange Erfahrung in der Entwicklung von TYPO3-Extensions und bieten die notwendigen Sicherheitsaspekte. Wir freuen uns auf Ihre Anfrage!

ZURÜCK