Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Dziurawe Google

.

screen pochodzi z bloga Ronalda van den Heetkampa

screen pochodzi z bloga Ronalda van den Heetkampa

Jedną z usług oferowanych przez Google jest Remove your URL. Umożliwia ona usunięcie swojej strony z indeksu wyszukiwarki Google.

W dniu dzisiejszym Earl odkrył możliwość listowania katalogu urlconsole. Nie niosło to by za sobą niczego niezwykłego gdyby nie zawartość tego katalogu. Zawiera on kilka javowych plików, strukturę kilku baz danych oraz informację o haśle roota do serwera baz danych mySQL, którym jest a raczej było k00k00. Trzeba przyznać, że wybrane hasło nie jest zbyt bezpieczne.

Z błędu Googla należy wyciągnąć dwa wnioski. Pierwszy z nich to konieczność wyłączenia możliwości listowania katalogów, jeśli opcja ta nie jest nam potrzebna. W pełni zabezpieczy nas to przed Directory traversal czyli możliwością listowania katalogów na serwerze, a co za tym idzie przed możliwością podglądu niektórych plików. W celu dokonania tego należy w pliku .htacction .htaccess umieścić następującą linijke:

Options -Indexes

Drugim wnioskiem powinien być sposób, a raczej miejsce przechowywania wrażliwych danych. Gdyby plik updatedb umieszczono w katalogu nadrzędnym do public_html nadal spełniał by on swoją rolę, a przy okazji uniemożliwiłby podgląd hasła roota.

Pliki, do których umożliwił dostęp błąd można przejrzeć pod adresem http://www.beldzio.com/zrzut/googledt/


Tagi: ,
Kategoria: Bezpieczeństwo, Aktualności


20 komentarzy

  1. Marcin "Ktos" Badurowicz napisał(a):

    Jakiś czas temu (całkiem niedawno) byłem na prelekcji na temat łańcuchowych ataków XSS, gdzie właśnie „możliwość” wykonywanie skryptów pozwalała na fajny sposób automatycznego rozsyłania się zarażonych e-maili w sposób bardzo podobny do działania robaków internetowych. I podobno dziura na to pozwalająca była w Tlenie, a tutaj widać ją w Gazecie… Mam nadzieję, że odpowiedzą na Twoje zarzuty, bo to bardzo, bardzo niebezpieczne jest.

  2. ConSi napisał(a):

    Hm coraz wyzej atakujesz ;D

  3. SZK napisał(a):

    Fajny napis, jest co poczytać :)

  4. Bełdzio napisał(a):

    Kurde :/ Tyle nowych komentarz, a ja nic o tym nie wiem :D @Ktosiu od czasu kiedy napisałem im maila o tym błędzie mineło dokładnie 6 dni i odpowiedzi ani fixa nie widać tak więc …

  5. graphicplanet napisał(a):

    hm.. ciekawe, bledziak co bedzie nastepne? :D

  6. Bełdzio napisał(a):

    sklep :-)

  7. Dudzisław napisał(a):

    witam :) oczywiście Gazeta.pl jest nadal dziurawa. pisałem o tym na swoim blogu: http://dudzislaw.blox.pl/2007/02/Gazetapl-XSS-w-Poczcie.html jak na razie nic nie zostało zrobione w tej sprawie. widzę, że chyba metoda wprowadzania kodu jest podobna… ach :/ pozdrawiam, Dudzisław

  8. Nick (wymagany) napisał(a):

    .htaccess, nie .htacction, chakierze

  9. mkane napisał(a):

    Ja bym się spytał: co za jeleń używa konta roota do połaczeń z bazą..

    p.s.
    Jak już Ci napisał ktoś w "htaccess" umieszcza się -Indexes, jednak lepiej zrobić to globalnie w configuracji httpd i zezwalać jedynie wtedy gdy jest potrzeba.

  10. Michał `Bełdzio` Ławicki napisał(a):

    @mkane jasne, że lepiej, ale nie zawsze ma się możliwośc ustawienia tego globalnie.

  11. ja znam podobny przypadek bezmyślności, choć na znacznie mniejszą skalę i mniej ciekawy :) kiedyś się nudziłem i wpisałem ip koleżanki do przeglądarki. jakie było moje zdziwienie, gdyż moim oczom ukazała lista plików. jeden tar.gz i plik kto.php :) wciskam kto.php i pokazała się lista osób korzystających właśnie z łącza radiowego wraz z adresami ip :P a taka informacja może być przydatna włamywaczom, gdy wyłączony jest serwer DHCP.

  12. JacuS napisał(a):

    pim … jesli ktos ma chociaz troche oleju w glowie to nie potrzebne mu zadne pliki w stylu kto.php … wystarczy aircrack albo kismet ….

  13. Michał `Bełdzio` Ławicki napisał(a):

    @JacuS co ma wardriving do bezpieczeństwa aplikacji internetowych?

  14. mir123bych napisał(a):

    podobno i google analytics mają jakieś usterki, zamienię je chyba na płatne może stat.pl może 7point.pl pomyśleć trzeba bo to co darmowe wychodzi że złe :/

  15. Michał `Bełdzio` Ławicki napisał(a):

    E tam :-) Imho Google Analytics niedługo przejmą PL rynek :-) dlaczego? bo będzie polski interface :)

  16. mir123bych napisał(a):

    ciekawe, nie wiedziałem :) ale pewnie trzeba trochę poczekać a niektórym się śpieszy

  17. Michał `Bełdzio` Ławicki napisał(a):
  18. mir123bych napisał(a):

    zawsze to krok na przód, ciekawe co na to polskie systemy statystyczne :/

  19. Mgis napisał(a):

    gemius się zdziwi :D
    no wreszcie może neta odsyfi od tego…

  20. Oby wiecej takich artykulow…

Dodaj komentarz