T3CON06: Hackproofing Websites
Letzter Vortrag der T3CON06:
Ekkehard Gümbel and Michael Hirdes präsentieren unter dem Titel „Hack-Proofing Your TYPO3 Website“. Dabei ist der Vortrag nicht nur auf Typo3 abgestimmt, sondern beinhaltet auch allgemeine Sicherheitsthemen.
Gerade eben ein Live-Hack einer älteren SuSE Linux Version. Tool: openssl-scanner.
War wir daraus lernen: es empfiehlt sich, auf dem Produktionssystem den Compiler zu entfernen. Denn sollte der Angreifer es schaffen, den Webserver-Benutzer zu kompromittieren, dann ist normalerweise der nächste Schritt, ein root-kit zu installieren – das kompiliert werden muß. Was eben nicht ohne Compiler geht. => smart remove gcc ist ein kleiner Schritt Richtung mehr Sicherheit.
Jetzt eine common-sense Suche nach Sicherheitslücken. Beispiel: Google-Suche nach der berühmten RealURL Fehlermeldung; damit man feststellen kann, welche Seite Typo3 benutzt. Aus der Ergenisliste dann die Suche nach den berühmten Dateien, in der das md5-verschlüsselte Passwort steht.
Voila!
Und was ist der 2. (!) Treffer in der Suchliste? Hm?
fh-nuernberg.de
Hä Hä.
Was wir daraus lernen: Verzeichnisse, die nicht aus dem globalen WWW einsehbar sein sollen, brauchen einen .htaccess Schutz.
[Und wer sich noch detailliertere Angaben zum Entdecken der Sicherheitslücken erwartet: Sie glauben doch nicht im Ernst, daß hier tatsächliche Anleitungen zum Exploit-än publiziert werden, oder?]
Jetzt ein nettes Zitat der Referenten: phpBB is a hacker’s best friend.
Das möchte ich mal einfach so stehen lassen und vor allem Richtung aller Webmaster der Uni laut weiterrufen.
Und: das Typo3 Sicherheitsteam stellt nach einem erfolgreichen (wie in: keine Sicherheitslücken gefunden) Securtiy Audit zwar keine Garantie aus, aber sagt:
This installtion is by default not insecure.
🙂