Webserver auf Sicherheit prüfen

L

leif

0
hallo

mein chef hat mich gefragt ob ich unseren werbserver nach lücken scannen kann,
um zu überprüfen ob die firma die, die anwendung für uns geschrieben hat
ihren job gut gemacht hat. jetzt habe ich den server mit nikto und spikeproxy gescannt und unmengen an ergebnissen erhalten.
da ich keine große erfahrung damit habe weiss ich nicht wie ich diesen test jetzt interpretieren soll. ich würde mich freuen wenn ihr mir da mal eure meinung zu sagen könntet! hier der nikto file,
falls ihr den von spikeproxy auch sehen müsst kann ich den noch posten,
ist allerdings sehr lang.
vielen dank schonmal

+ Server: Apache/1.3.37 Ben-SSL/1.57 (Unix) PHP/5.2.5
- Retrieved X-Powered-By header: PHP/5.2.5
+ /robots.txt - contains 2 'disallow' entries which should be manually viewed (added to mutation file lists) (GET).
+ Allowed HTTP Methods: GET, HEAD, OPTIONS, TRACE
+ OSVDB-877: HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
+ Apache/1.3.37 appears to be outdated (current is at least Apache/2.2.6). Apache 1.3.39 and 2.0.61 are also current.
+ OSVDB-0: GET /getaccess : This may be an indication that the server is running getAccess for SSO
+ OSVDB-0: GET /siteminder : This may be an indication that the server is running Siteminder for SSO
+ OSVDB-0: GET /mysql/db_details_importdocsql.php?submit_show=true&do=import&docpath=../../../../../../../etc : phpMyAdmin allows directory listings remotely. Upgrade to version 2.5.3 or higher. BID-7963.
+ OSVDB-8450: GET /phpMyAdmin/db_details_importdocsql.php?submit_show=true&do=import&docpath=../../../../../../../etc : phpMyAdmin allows directory listings remotely. Upgrade to version 2.5.3 or higher. BID-7963.
+ OSVDB-0: GET /tree : WASD Server reveals the entire web root structure and files via this URL. Upgrade to a later version and secure according to the documents on the WASD web site.
+ OSVDB-0: GET /852566C90012664F : This database can be read using the replica id without authentication.
+ OSVDB-0: GET /index.php?module=My_eGallery : My_eGallery prior to 3.1.1.g are vulnerable to a remote execution bug via SQL command injection.
+ OSVDB-0: GET /index.php?top_message=<script>alert(document.cookie)</script> : Led-Forums allows any user to change the welcome message, and it is vulnerable to Cross Site Scripting (XSS). CA-2000-02.
+ OSVDB-3233: GET /phpBB/phpinfo.php : phpBBmod contains an enhanced version of the phpinfo.php script. This should be removed as it contains detailed system information.
+ OSVDB-0: GET /pvote/ch_info.php?newpass=password&confirm=password%20 : PVote administration page is available. Versions 1.5b and lower do not require authentication to reset the administration password.
+ OSVDB-3126: GET /submit?setoption=q&option=allowed_ips&value=255.255.255.255 : MLdonkey 2.x allows administrative interface access to be access from any IP. This is typically only found on port 4080.
+ OSVDB-48: GET /doc : The /doc directory is browsable. This may be /usr/doc.
+ OSVDB-2117: GET /BACLIENT : IBM Tivoli default file found.
+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details
+ OSVDB-12184: GET /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 : PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-561: GET /server-status : This reveals Apache information. Comment out appropriate line in httpd.conf or restrict access to allowed hosts.
+ OSVDB-3092: GET /access-log : This might be interesting...
+ OSVDB-3092: GET /access_log : This might be interesting...
+ OSVDB-3092: GET /certificate : This may be interesting...
+ OSVDB-3092: GET /certificates : This may be interesting...
+ OSVDB-3092: GET /console : This may be interesting...
+ OSVDB-3092: GET /css : This might be interesting...
+ OSVDB-3092: GET /error_log : This might be interesting...
+ OSVDB-3092: GET /htpasswd : This might be interesting...
+ OSVDB-3092: GET /js : This might be interesting...
+ OSVDB-3092: GET /logfile : This might be interesting...
+ OSVDB-3092: GET /mbox : This might be interesting...
+ OSVDB-3092: GET /new : This may be interesting...
+ OSVDB-3092: GET /news : This may be interesting...
+ OSVDB-3092: GET /oracle : This might be interesting...
+ OSVDB-3092: GET /passwd : This could be interesting...
+ OSVDB-3092: GET /passwdfile : This might be interesting...
+ OSVDB-3092: GET /password : This could be interesting...
+ OSVDB-3092: GET /poll : This may be interesting...
+ OSVDB-3092: GET /polls : This may be interesting...
+ OSVDB-3092: GET /readme : This might be interesting...
+ OSVDB-3092: GET /scratch : This may be interesting...
+ OSVDB-3092: GET /spwd : This might be interesting...
+ OSVDB-3092: GET /srchadm : This might be interesting...
+ OSVDB-3092: GET /swf : This may be interesting... Flash files?
+ OSVDB-3092: GET /test/ : This might be interesting...
+ OSVDB-3092: GET /sam : This might be interesting...
+ OSVDB-3093: GET /add_acl : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /admin/credit_card_info.php : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /dbabble : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /do_map : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /do_subscribe : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?base=test%20 : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?IDAdmin=test : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?pymembs=admin : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?SqlQuery=test%20 : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?tampon=test%20 : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?topic=&lt;script&gt;alert(document.cookie)&lt;/script&gt;%20 : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /netget?sid=Safety&msg=2002&file=Safety : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /OpenTopic : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /product_info.php : This might be interesting... has been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /.htaccess : Contains authorization information
+ OSVDB-3233: GET /tomcat-docs/index.html : Default Apache Tomcat documentation found.
+ OSVDB-3233: GET /WebSphereSamples : Netware Webshere sample applications found. All default code should be removed from web servers.
+ OSVDB-4013: GET /isqlplus : Oracle iSQL*Plus is installed. This may be vulnerable to a buffer overflow in the user id field. http://www.ngssoftware.com/advisories/ora-isqlplus.txt
+ OSVDB-539: GET /catinfo : May be vulnerable to a buffer overflow. Request '/catinfo?' and add on 2048 of garbage to test.
+ OSVDB-562: GET /server-info : This gives a lot of Apache information. Comment out appropriate line in httpd.conf or restrict access to allowed hosts.
+ OSVDB-670: GET /stronghold-info : Redhat Stronghold from versions 2.3 up to 3.0 disclose sensitive information. This gives information on configuration. CAN-2001-0868.
+ OSVDB-670: GET /stronghold-status : Redhat Stronghold from versions 2.3 up to 3.0 disclose sensitive information. CAN-2001-0868.
+ OSVDB-3092: GET /README : README file found.
+ OSVDB-3233: GET /perl-status : Default perl status page found.
+ OSVDB-3233: GET /OA_HTML/webtools/doc/index.html : Cabo DHTML Components Help Page
+ 2964 items checked: 68 item(s) found on remote host
 
ohne dir jetzt zu nahe zu treten aber du hast ein scanner losgelassen und dir das logfile scheinbar nicht annährend durchgelesen?

steht doch eigtl alles das...

was mir auf anhieb auffällt ist das der scanner eine alte phpmyadmin gefunden hat
/../../../../../etc : phpMyAdmin allows directory listings remotely. Upgrade to version 2.5.3 or higher. BID-7963.
+ OSVDB-8450: GET /phpMyAdmin/db_details_importdocsql.php?submit_show=true&do=import&docpath=
../../../../../../../etc : phpMyAdmin allows directory listings remotely. Upgrade to version 2.5.3 or higher. BID-7963.
Zum Vergrößern anklicken....

und er dich auch drauf hinweist was du machen sollst.....
macht er auch bei anderen sachen....

desweiteren fällt mir sofort auf:

+ OSVDB-3093: GET /.htaccess : Contains authorization information
Zum Vergrößern anklicken....

das man scheinbar .htaccess ohne probleme aufrufen kann sollte eigtl nich sein
 
Vorallem den Apache Server updaten - und da ist natürlich der Hoster schuld. Wenn ihr also das Zeug bei euch hostet seid ihr dafür verantwortlich...(ausser es wäre vertraglich anders geregelt)
 
danke für die antworten! sorry ich weiss dass mit dem phpmyadmin und der htaccess ist auch sehr eindeutig. die webserver version 1.37 hat 2 lücken die sich aber nur in bestimmten fällen ausnutzen lassen, laut unseres providers trifft dies bei uns nicht zu. die aktuelle 1.39 version hat diese fehler behoben. die firma die wir mit der programmierung beauftragt haben hat uns nachdem wir ihnen die files des scanners geschickt haben versichert dass es sich nur um false positivs handelt und meinem chef gesagt er sollte solche dinge lieber von ihnen direkt überprüfen lassen und mich somit etwas ungünstig dastehen lassen, jetzt scheint es so zu sein dass meine aussage gegen die der beauftragten firma steht. ich habe daraufhin den logfile hier gepostet um andere meinungen zu bekommen. aus meiner sicht ist der server vorsichtig ausgedrückt sehr verwundbar. danke für alle weiteren posts!
 
Naja, du sagst du hast selber kaum Erfahrung mit Apache und dem HTTP-Protokoll, nutzt dann aber Tests, deren Ergebnisse du nicht verstehst. Und sagst dann deinem Chef, aufgrund deiner Interpretation, die Leute, die sich tagtäglich mit dem Kram auseinandersetzen, hätten wahrscheinlich Mist gebaut? Sehr mutig... (wer Ironie findet, darf sie behalten^^)

Hast du die Ergebnisse verifiziert? Was passiert denn wenn du versuchst, die Datei README bspw aufzurufen? Kannst du mittels /doc die Apache-Docs einsehen? Wenn du an die URL ../../../../../../../etc anhänst, siehst du dann den Ordnerinhalt von /etc ? usw

Wenn sich alle Ergebnisse nicht bestätigen lassen, dann hast du bei der Installation/Konfiguration/Bedienung von Nikto wohl etwas falsch gemacht.

In den Nikto-Docs hab ich noch das gefunden:
Most web security tools, (including Nikto 1.32 and below), rely heavily on the HTTP response to determine if a page or script exists on the target. Because many servers do not properly adhere to RFC standards and return a 200 "OK" response for requests which are not found or forbidden, this can lead to many false-positives. In addition, error responses for various file extensions can differ--the "not found" response for a .html file is often different than a .cgi.

[...]

http://www.cirt.net/nikto2-docs/ch01s03.html
Zum Vergrößern anklicken....

Keine Ahung, ob du die alte Nikto-Version verwendest oder ob die Aussage auf den Apache 1.3.37 zutrifft. Ich hab mich nicht näher damit beschäftigt.
 
Original von leif
danke für die antworten! sorry ich weiss dass mit dem phpmyadmin und der htaccess ist auch sehr eindeutig. die webserver version 1.37 hat 2 lücken die sich aber nur in bestimmten fällen ausnutzen lassen, laut unseres providers trifft dies bei uns nicht zu. die aktuelle 1.39 version hat diese fehler behoben.
Zum Vergrößern anklicken....

irre ich mich oder is der apache net schon auf einer 2.x version?!
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben