[TYPO3-german] Sicherheitslücke aufspüren

Andreas Becker ab.becker at web.de
Wed Jun 19 01:35:35 CEST 2013 

Hi

wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort
einen neuen User angelegt hat und mit diesem eiloggte ins Backend, von
dortaus kann er dann im Grunde alles weitere erledigen was er will. Er muss
nur eine extension i.e. terminal installieren.

Andere Frage - welches Interesse verfolgte wohl der Angreifer mit dem Hack?
Macht der Hack ueberhaupt Sinn auf deiner Seite?

evtl. kommst du mit diesen einfachen Fragen einer moeglichen Loesung näher.

Aus eigener Erfahrung würde ich sagen dass Angreifer besonders bei
bestimmten grossen Projekten in der Regel auch ein Ziel verfolgen und
dieses ggf. dann auch mit aller Gewalt versuchen umzusetzen - d.h, evtl.
auch mal 5 Tage oder länger rumprobieren bis sie schlussendlich Zugang zu
i.e. PhpMyAdmin erlangen - oder einem anderen Tool, was evtl. noch nicht
einmal in deinem "Zuständigkeitsbereich" liegt. Sie dann wiederum laengere
Zeit rumsuchen bis sie z.B. auch einen bestimmten Eintrag in der DB finden
um diesen abzuaendern. Da kann man dann einiges abändern z.B. TS oder
simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit
einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und
man kann Extensions installieren mit denen man u.a. auch die Configurations
Dateien editieren kann "from within TYPO3!" etc.. Ein normaler User kann
hier auch leicht zu einem Admin user werden mit vollzugriff. Kurzum es
badarf hierzu nicht des TYPO3 Backends wuerde ich mal sagen, sondern es
reicht ein dritt-Tool aus.

Sicherheitsluecken werden dabei evtl. auch schon vor einer
veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org
ausgenutzt. Hat man erst einmal das PW so duerfte der Rest nicht mehr so
schwer sein und vor allem kann er zeitlich versetzt sein. d.h. ggf. loggte
der Haker quasi legal ein weil er bereits seit langem im Besitzt von
Zugangsdaten ist.

Andi



2013/6/18 Jan Kornblum <jan.kornblum at gmx.de>

> SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch
>>> eine Stufe sicherer!
>>>
>> das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an
>> den Key rankommt?
>>
>
> Der Key alleine nützt ihm ja nichts, solange der mit einer guten
> Passphrase geschützt ist (Privatekeys ohne Passphrase sollte man nie
> verwenden)...
>
> Oder meinst du gestohlener Privatekey + über Keylogger o.ä. die Passphrase
> erschnüffeln...? Nagut, das Risiko bleibt offen, ist aber immens kleiner.
>
> Grüße, Jan
>
>
>
> ______________________________**_________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**german<http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german>
>

More information about the TYPO3-german mailing list