>

hinweise in sachen boardsicherheit

  • AA
  • Autor
  • Besucher
  • Besucher
21 Jahre 3 Monate her #15053 von AA
hinweise in sachen boardsicherheit wurde erstellt von AA
die letzten wochen sind wieder jede menge bugs bekannt geworden. so bekannt, dass wir ja vor kurzem von diversen attacken gegen phpBB's hören konnten.

admins, bitte bookmarkt euch diese url: securitytracker.com/archives/category/1938.html

letzte woche habe ich auf dem new yorker board erstmals gewarnt, nachdem diese meldung securitytracker.com/alerts/2002/Dec/1005803.html die runde machte und ich dort las, dass man einen monat vorher bereits versuchte, dort den admins bösen code unterzuschummeln.

aktuell ist gerade stark in mode das verstecken von ausführbaren code in diversen html-tags, wie bilder oder urls.

ziel ist es, möglichst unauffällig an cookies und sessionids der administratoren heranzukommen. da sich die authentifizierung eben grösstenteils auf diese sessionids und cookies stützt, kann man aktionen ausführen lassen im namen eines admins.

das aufrufen eines posts mit einem harmlosen smilie zb, an dem unsichtbar ein code angehängt wurde, kann im hintergrund den admin alle möglichen sachen starten lassen. beispielsweise das löschen eines users oder schliessen, löschen von beiträgen, foren, etc.

aber auch einem schlichtem link zu einem anderen beitrag sieht man nicht an, dass da was faul ist.

bei nicht ausreichendem schutz des adminbereiches, kann man sich auch gleich selbst zum admin machen und das board verstümmeln, alle user und beiträge löschen oder was einem gerade so einfällt.

nun, das herausfinden solcher sicherheitslücken und dem veröffentlichen kommt uns allen zugute, da man die software meist gleich korrigiert und den usern einen bugfix anbietet.

in der regel werden die softwarehersteller vor der veröffentlichung dezent auf die lücke hingewiesen. erfolgt dann keine reaktion, werden die sicherheitslücken veröffentlicht und anleitungen zum hacken gehören meist mit dazu. damit will man die softwareanbieter zwingen, tätig zu werden.

und da das ganze (meist etwas zeitversetzt) dann öffentlich zugänglich ist, finden sich auch jede menge leute, die das gern mal probieren möchten, was die grossen da herausgefunden haben.

ich möchte behaupten, dass das keine bösartigen menschen sind, allein ihre nichtzugehörigkeit zur community, die sie sich aussuchen per suchmaschine zb.: www.google.com/search?hl=de&ie=ISO-8859-...tnG=Google-Suche&lr= oder www.google.com/search?hl=de&ie=ISO-8859-...tnG=Google-Suche&lr= macht sie gefährlich. es kann ihnen egal sein, wenn das board kaputtgeht.

zurück zum anlass meines posts.

neben dieser hübschen anleitung für vbulletin 2.2.9 www.securitybugware.org/Other/5764.html habe ich auch ein nettes formular für phpBB gefunden, wo man einfach nur noch eine userid eingibt und bestimmt, ob sie admin werden soll oder (wieder) normaluser. darüberhinaus gibts noch wesentlich mehr spielzeug für diverse boards, die links sollen nur andeuten, dass man so was auch im grossen stil am fließband erledigen kann.

da ich selbst auch betroffen bin, habe ich einen bugfix auf dem gErMaN eLiTe board veröffentlicht, dort werde ich ihn auch gegebenenfalls aktualisieren. vor ca. 2 stunden wurde auch John von jellsoft nochmal von dem vorgang informiert.

lesen: geb.german-elite-net.de/showthread.php?threadid=129791
bei fragen dazu, stehen wir zur verfügung.

schützen kann man sich mit dem abschalten von html im board. ansonsten über die lösung, die ich erstmal anzubieten habe, bis die hersteller sich auf ihren supportforen nach mehr als einem monat mal äussern dazu.

im übrigen reicht nach meinem erkenntnisstand das abschalten von html alleine nicht aus. in vielen boards gibt es vbtags, mit denen man html über einen umweg erzeugt. neben den standard-tags, die wir alle aus den boards kennen, gibt es auch sehr viel eigenbau, wie color etc. überprüft, inwieweit diese tags sicher sind. ich habe auf mehreren boards getestet und konnte über den colortag den selben scheiss erzeugen, als wäre html aktiviert.

eine variante, um sich zuverlässig vor solchen adminattacken durch klauen der sessions zu schützen, ist, einfach einen normaluseraccount für den boardbesuch zu benutzen und sich als admin nur dann über das controlpanel einzuloggen, wenn dies notwendig ist.

Bitte Anmelden um der Konversation beizutreten.

Ladezeit der Seite: 0.083 Sekunden
Go to top