[TYPO3-german] Sicherheitslücke aufspüren
Andreas Becker
ab.becker at web.de
Wed Jun 19 07:00:51 CEST 2013
Richtig Georg -
Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich
bei solchen Dingen.
Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders!
Es wird sich immer die Frage stellen wie sicher ist der
Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird
es kontrolliert etc.
Andi
2013/6/19 Georg Ringer <typo3 at ringerge.org>
> Hallo,
>
> Am 19.06.2013 01:35, schrieb Andreas Becker:
> > wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der
> > Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und
> dort
> > einen neuen User angelegt hat und mit diesem eiloggte ins Backend
>
> - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist.
> Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem.
>
> - Wie kommt man zu den Credentials der DB? Das geht nur über eine File
> Disclosure, dh es braucht schon mind 2 Lücken.
>
> > Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS
> oder
> > simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit
> > einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und
> > man kann Extensions installieren mit denen man u.a. auch die
> Configurations
> > Dateien editieren kann "from within TYPO3!" etc..
>
> ist das jetzt noch aus eigener Erfahrung? SCNR
>
> > Sicherheitsluecken werden dabei evtl. auch schon vor einer
> > veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org
> > ausgenutzt.
>
> Natürlich. Ist ja nicht so als ob die "Bösen" nicht miteinander
> kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt.
>
> Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das
> nur heißt dass man Betreiber noch länger davon nichts weiß.
>
> aber wir sind nicht mehr beim initialen Thema
>
> Georg
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
More information about the TYPO3-german
mailing list