Veröffentlicht am: 24. November 2022
Autor: Thomas Federer
Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt: https://codepurple.ch/blog/datenleck-uber-phpinfo-teil-12
Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.
Viele Webapplikationen sind hinter einer sogenannten WAF (Web Application Firewall). Bei den meisten WAFs wird der Datenverkehr über einen Drittanbieter geleitet, welcher gewisse Angriffe erkennt und diese "bösen" Anfragen blockiert. Solange man die direkte IP-Adresse des Servers, auf welcher die Applikation läuft nicht kennt, wird ein grosser Teil der Angriffe bereits von den WAF-Systemen gefiltert. Findet man jedoch die IP-Adresse des Servers heraus, so kann man direkt darauf zugreifen und alle Schutzmechanismen der WAF umgehen. Die Entwickler/Betreiber verlassen sich oft auf die WAF. Kann die WAF umgangen werden, sind alle Angriffsvektoren wieder offen. Oft ist die IP-Adresse des Servers in den phpinfo() Informationen zu finden. Wenn man die IP des Servers kennt, kann man die Angriffe direkt auf den Server starten und umgeht die WAF.
Wir konnten ca. 500 direkte Server-IP-Adressen herausfinden, von Applikationen, welche hinter einer WAF sind.
Auch konnten wir über die IP-Informationen aus der phpinfo() auf die interne Struktur des Netzwerks schliessen, dass macht es vor allem interessant, wenn es sich um Firmen handelt. Denn so kennt man die interne Struktur des Netzwerks und kann Angriffe darauf ausrichten.
In den phpinfo Daten sind oft auch die Einstellungen und das Environment des Servers zu finden. Hier sind die wirklich interessanten Informationen wie:
Wir fanden bei hunderten Domains solche Informationen, welche kritisch für die jeweilige Applikation sind, denn mit diesen Informationen können Daten gestohlen, verändert oder zerstört werden.
Bei einem Hoster, welcher vor allem KMUs anspricht, gehen wir davon aus, dass es sich um ein strukturelles Problem handelt. Denn wir fanden die gesamten Datenbankinformationen von vielen Kunden des Hosters. Die Webapplikationen wurden von verschiedenen Softwarefirmen und Agenturen umgesetzt und alle weisen dasselbe Problem auf.
Machen Sie die phpinfo-Funktionalität nicht öffentlich zugänglich. Legen Sie die Phpinfo-Datei in einen Passwortgeschützten Ordner ab. PHP bietet auch die Möglichkeit einzelne Funktionen zu deaktivieren, so kann phpinfo() auf dem produktiven System deaktiviert werden.
Haben Sie ein Datenleck via phpinfo()? Gemeinsam finden wir es heraus.
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
X
Haben Sie ein Datenleck via phpinfo()? Gemeinsam finden wir es heraus.
Kontaktieren Sie uns unverbindlich:
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2024. Alle Rechte vorbehalten