Wie schützt man sich vor Directory-Traversal-Angriffen über „.hta

Man schützt sich vor Directory-Traversal-Angriffen über „.htaccess“ durch eine Kombination verschiedener sicherheitsrelevanter Maßnahmen. Directory-Traversal-Angriffe, auch bekannt als Pfad-Traversal-Angriffe, zielen darauf ab, Zugriff auf Verzeichnisse und Dateien zu erhalten, die außerhalb des Root-Verzeichnisses der Webanwendung liegen. Diese Schwachstelle kann Angreifern ermöglichen, vertrauliche Informationen zu stehlen oder das System zu kompromittieren.

1. Konfiguration durch „.htaccess“

Beispielhafte „.htaccess“-Regel:
```apache
Order Allow,Deny Deny from all

```
Diese Regel blockiert den Zugriff auf Dateien mit bestimmten Erweiterungen wie .htaccess, .htpasswd, .config usw., die oft sensible Konfigurationsinformationen oder Skripte enthalten.

Quelle: Apache Documentation und OWASP Security Guidelines

2. Verwendung von sicheren Eingabefiltern

Sichern Sie sicher, dass alle Eingaben, die in Dateipfade umgewandelt werden, gründlich validiert und gefiltert werden. Insbesondere sollten folgende Muster in Eingabedaten abgesichert werden:

- Vermeiden Sie relative Pfadangaben: Filtern Sie die Zeichenfolge „../“ heraus, um sicherzustellen, dass Benutzer nur auf erlaubte Verzeichnisse zugreifen können.
- Einschränkung auf erlaubte Zeichen: Verwenden Sie Weiße-Listen, um nur bestimmte erlaubte Zeichen in Dateinamen oder Pfaden zuzulassen.

Beispiel (Pseudocode):
```php
$allowed_chars = ‘/^[A-Za-z0-9\-_]+$/’;
if (!preg_match($allowed_chars, $input_filename)) { die(“Ungültiger Dateiname.”);
}
```
Quelle: OWASP Cheat Sheet Series – Input Validation

3. Isolation von Web-Verzeichnissen

Bis zu gewissen Grad können Verzeichnisse durch Trennung sensibler Verzeichnisse von öffentlich zugänglichen Web-Inhalten isoliert werden. Ein häufig verwendeter Ansatz ist die Verwendung des `DocumentRoot`-Eintrags in der Apache-Konfiguration, um die Bereiche von Dateien und Verzeichnissen festzulegen, die für das Web zugänglich sind.

Apache-Konfigurationsbeispiel:
```apache
DocumentRoot /var/www/html/public Options -Indexes AllowOverride All Require all granted

```
In diesem Beispiel befindet sich das `public`-Verzeichnis innerhalb des `DocumentRoot`, während andere sensible Verzeichnisse aus dem öffentlichen Zugriff verbannt sind.

Quelle: Apache Documentation und NIST Special Publication 800-53

4. Regelmäßige Security Audits und Penetration Tests

Durchführen regelmäßiger Sicherheitsüberprüfungen (Audits) und Penetrationstests kann dabei helfen, Schwachstellen zu identifizieren, bevor sie durch einen Angreifer ausgenutzt werden können. Dies schließt auch Code-Prüfungen (Code Reviews) und automatische Sicherheitsprüfungen mit Tools wie `ESLint` für JavaScript oder `SonarQube` für diverse Programmiersprachen ein.

Quelle: OWASP und NIST Guidelines

Zusammengefasst, der Schutz vor Directory-Traversal-Angriffen erfordert mehrere Schichten von Sicherheitsmaßnahmen, welche die Konfiguration von .htaccess, strikte Eingabenvalidierung, angemessene Verzeichnisstruktur und regelmäßige Sicherheitsüberprüfungen kombinieren. Indem Sie diese Best-Practices implementieren, können Sie das Risiko von Directory-Traversal-Angriffen erheblich verringern.

Quellenverweise:

- Apache Documentation: [Apache .htaccess files](https://httpd.apache.org/docs/current/howto/htaccess.html)
- OWASP Security Guidelines: [OWASP File Uploads Cheatsheet](https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html)
- NIST Special Publication 800-53: [NIST Security Control Catalog](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf)

Wie schützt man sich vor Directory-Traversal-Angriffen über „.htaccess“?