[HaBo]

Xalon

Anzeige

Hi,
ich hab mir gedacht ich mach mal einen Thread auf in dem wir Sicherheitslücken für Webseiten
sammeln.

Damit mein ich nicht Lücken für spezielle Seiten sondern allgemein Lücken auf
die man achten sollte wenn man selber eine Seite oder einen Server online stellt.
Am besten wär:

• Name der Lücke
• ein Wikipedia Link oder ähnliches
• für was diese Lücke nützlich ist (aus Sicht des Angreifers)

Ich fang mal an mit den bekanntesten Lücken ;)

[*]Sql-Injection[*]http://de.wikipedia.org/wiki/SQL-Injektion[*]Ausspähen der Datenbank
[*]Cross-Site Scripting aka XSS (Server wie auch Client Seitig)[*]http://de.wikipedia.org/wiki/Cross-Site_Scripting[*]JavaScript beim Opfer in fremdem Context ausführen,z.b. zum klauen von Cookies
[*]Cross-Site Request Forgery aka CSRF[*]http://de.wikipedia.org/wiki/CSRF[*]Senden von HTTP-Requests unter der Identität des Opfers
[*]robots.txt[*]http://de.wikipedia.org/wiki/Robots_Exclusion_Standard[*]Ausspähen von Verzeichnissnamen die geheim bleiben sollten
[*]Standard Passwörter [*]http://google.del[*]Einloggen mit einem Standard-Account bei dem die Zugangsdaten bekannt sind da
sie von Server nach der Installation automatisch vergeben werden

Postet mal fleisig ^^
Ich hoffe es gibt noch andere Lücken und ich hab nicht schon alle genannt...


Xalon

P.S: Vielleicht könnt das ja wer pinnen? ;)
Aber wenn ess aus eurer Sicht Quatsch ist, einfach closen :P

fetzer

Wofür gibts das HaBo-Wiki? Wenn Interesse besteht sollte man vielleicht den Artikel dort eintragen oder wenigstens die Einträge dort drauf verlinken.

Xalon

Jeder hier ist frei und kann auf das Wiki verlinken auf das er will,oder?

Und nein,das hier soll ein Thread bleiben und nicht ins Wiki portiert werden,außer wenn er
"vollendet" ist vielleicht rein KOPIERT werden...



Xalon

blobbo

Find ich einen sehr guten Thread ich weiss nur nicht ob es noch so viele gibt ?(
Mir fällt nur noch eins ein aber ich finde dazu keinen brauchbaren link
[*]Remote File Include[*] -[*]Ausführen von beliebigem Phpcode

Oi!Alex

auch das fällt in die richtung cross site

boehmi

Zum Thema SQL Injection: kann es sein das mysql_query() nur eine Abfrage erlaubt ?

Will heißen:
ich hab das ja scho oft genug probiert, sowohl bei mir zu Hause als au auf meinem Webspace.
Jedoch konnte ich nie was Injecten...
irgendwann hab ich dann halt probiert, ob es denn überhaupt geht, wenn ichs im Quelltext ändere, hab dann also z.B. das probiert:

mysql_query("SELECT * FROM `tab1`; INSERT INTO `tab2` VALUES ('lala','lala','lala','lala');");

--> fehlanzeige

dann dachte ich halt, na gut, kann man vielleicht keine Anzeige & Änderungsabfragen in einem Query ausführen (obwohls im phpmyadmin geht) und versuchte

mysql_query("INSERT INTO `tab1` VALUES ('lala','lala','lala','lala'); INSERT INTO `tab1` VALUES ('lala','lala','lala','lala');");

doch auch hier fehlanzeige (im phpmyadmin gehts natürlich )

scheinbar wird der Query überhaupt nicht ausgeführt (Fehlermeldung gibs au nich).
Ist das Konfig Sache, dass der Sicherheit wegen vielleicht standardmäßig nur 1 Abfrage pro Query gestattet ist...?

Is scho in Stück her, aber das hat mir die Lust daran ziemlich versaut!

b4ck

soweit ich weis stimmt es das nur 1 abfrage erlaubt ist

Xalon

Bei Microsofts SQL Datenbank kann man auch mehrere Befehle absetzen.
Ansonsten aber afaik nicht ...

Xalon

P.S:Waren das wirklich schon alle Lücken?!

b4ck

njo ich könnte jetzt alle exploits vom milwurm nehmen und hier auflisten xD
(die die den webserver direkt angreifen meine ich) aber das wäre glaub ich net sinn der sache

boehmi

Öhm, dann heißt das ja im Umkehrschluss, dass ich mit MySQL unter PHP immer auf der sicheren Seite bin?

Dann is dieser Angriffspunkt ja gar nich so gravierend wie ich dachte,
die meisten setzen ja doch auf PHP...

Xalon

Ne weil es schon genügt einem bestehendem SELECT Aufruf mit nem UNION SELECT das AdminPasswort zu entlocken (oder den Hash davon)

Xalon

fetzer

Eventl. noch zwei Lücken, die ich nicht direkt zu CrossSiteScripting zählen würde, jedoch dazu führen können:
[*]Header-Injection[*]http://de.wikipedia.org/wiki/Header-Injection[*]Fälschen eines HTTP Headers ( z.b. Referer-Spoofing )
[*]Directory Traversal[*]http://de.wikipedia.org/wiki/Directory_Traversal[*]Fälschen von Variablen z.b. in der URL, um auf Verzeichnisse und Dateien zuzugriffen, die außerhalb des Web Roots liegen

und vielleicht noch der meist "genutzte" Bug
[*]Schlechte Programmierung[*]<? include($_GET['file']); ?>[*]Message vom 1337 Hacker, dass die Site gehackt wurde und grüße an depp nr.1 und nr.3 aus dem #1337hackers irc channel...

Xalon

Gibts außer anonymous eigentlich noch andere Accounts die bei der Ftp-ServerInstallation
(oft) eingerichtet werden?

Xalon

boehmi

Mh ich weiß nur, dass beim FileZilleFTP im xampp Standardmäßig der User "newuser" mit dem pw "wampp" bzw. "lampp" angelegt ist.
In wie weit der Schreib/Leserechte hat weiß ich aber nicht.
Außerdem betrifft das eher private Server, da xampp im Profibereich ja eher nicht zum Einsatz kommt.

bitmuncher

Es kommt zum Teil darauf an auf welchem System der Webserver läuft. Eine häufig anzutreffende Kombination ist Linux->Apache-Webserver->FTP-Server wobei gerade Newbies, die sich toll vorkommen und ihren eigenen Rootserver mieten dabei oft den Fehler machen und System-Accounts als FTP-Accounts einrichten, also keine getrennte User-Liste für die FTP-User. Sowas findet man z.B. bei Servern die ServerAdmin24 nutzen (bei Confixx kann ich das jetzt aus dem Hut nicht mit Sicherheit sagen). Dabei tritt dann ein Problem auf: Auch die Systembenutzer haben damit meist FTP-Zugang und somit die ganzen Default-Benutzer der Linux-Distros wie z.B. nobody, ftp, daemon, www-data, news, mail usw.
Diese Accounts haben zwar meist kein Passwort gesetzt und sind damit für den Shell-Zugang gesperrt, aber sofern ihnen nicht explizit eine nologin-Shell gesetzt wird (und gerade Newbies machen das meist nicht) ist mit mehr oder weniger rumtricksen über diese Accounts ein FTP-Zugang möglich.

__________________