Hallo,
wie einige es vielleicht mitbekommen haben hatte ich am Freitag bei einem großen Server eine Sicherheitslücke gefunden, welche mich in die Lage gebracht hatte, an E-Mail-, Datenbank- und TeamSpeak ServerQuery Anmeldedaten zu kommen und diese abzugreifen.(Inzwischen gefixt.) Der Angriffspunkt war so einfach wie clever. Logdateien lesen und Fehler provozieren/vorhandene interpretieren.(Soviel dazu, ich will nicht, das jemand dies ausnutzt und dann nicht dem Foreninhaber Bescheid sagt.)
Wie ihr evt. wisst basiert WBB auf dem WCF(Woltlab Community Framework/PHP Api), was in seinem Verzeichnis standardmäßig(meist/hier wcf/) während der Installationsroutine folgende Dateienstruktur anlegt:
Hier ist wichtig, dass ihr in jedem Fall/zumindest im Verzeichnis "log/" eine ".htaccess"-Datei erstellt(falls da nicht schon eine existiert), diese muss folgenden Inhalt haben:
Außerdem, folgender Tipp: Ihr solltet im wcf/ Verzeichnis niemals eine Test-Config(das war auch beim Server der Fall) rumliegen haben, jede Datei, die nicht vom WCF erstellt wurde, kann, muss aber nicht geschützt sein!
Wem das zu viel tralala ist, der erstellt auch im wcf/ Verzeichnis eine ".htaccess"-Datei mit dem Inhalt:
Dann sind evt. Test-Configs auch geschützt, aber sicher ist was anderes! Erst garnicht hochladen!
Falls ihr Server findet, die diese Lücke haben, verlinkt diese bitte auf diesen Beitrag.
Gruß,
Jens
wie einige es vielleicht mitbekommen haben hatte ich am Freitag bei einem großen Server eine Sicherheitslücke gefunden, welche mich in die Lage gebracht hatte, an E-Mail-, Datenbank- und TeamSpeak ServerQuery Anmeldedaten zu kommen und diese abzugreifen.(Inzwischen gefixt.) Der Angriffspunkt war so einfach wie clever. Logdateien lesen und Fehler provozieren/vorhandene interpretieren.(Soviel dazu, ich will nicht, das jemand dies ausnutzt und dann nicht dem Foreninhaber Bescheid sagt.)
Wie ihr evt. wisst basiert WBB auf dem WCF(Woltlab Community Framework/PHP Api), was in seinem Verzeichnis standardmäßig(meist/hier wcf/) während der Installationsroutine folgende Dateienstruktur anlegt:
Code:
wcf/
├acp
├attachments
├cache
├font
├icon
├images
├js
├language
├lib
├log
├style
├templates
├tmp
├cli.php
├config.inc.php
├global.php
└options.inc.phpHier ist wichtig, dass ihr in jedem Fall/zumindest im Verzeichnis "log/" eine ".htaccess"-Datei erstellt(falls da nicht schon eine existiert), diese muss folgenden Inhalt haben:
Code:
deny from allAußerdem, folgender Tipp: Ihr solltet im wcf/ Verzeichnis niemals eine Test-Config(das war auch beim Server der Fall) rumliegen haben, jede Datei, die nicht vom WCF erstellt wurde, kann, muss aber nicht geschützt sein!
Wem das zu viel tralala ist, der erstellt auch im wcf/ Verzeichnis eine ".htaccess"-Datei mit dem Inhalt:
Code:
deny from allDann sind evt. Test-Configs auch geschützt, aber sicher ist was anderes! Erst garnicht hochladen!
Falls ihr Server findet, die diese Lücke haben, verlinkt diese bitte auf diesen Beitrag.
Gruß,
Jens
Zuletzt bearbeitet:
