Matt's WWWBoard sicher?
Stefan Bion
- cgi
Hi,
ich habe mal gehört, das WWWBoard von Matt Wright könne sehr leicht "gehackt" werden. Ist das so? Gibt es da irgendwelche Sicherheitslücken, die es Hackern sehr leicht machen? Daß man die passwd.txt umbenennen sollte und in das Forumsverzeichnis eine index.html legen sollte, damit der Verzeichnisinhalt nicht angezeigt wird, ist klar. Gibt es aber sonst noch etwas zu beachten (z.B. Zugriffsrechte)?
Gruß,
Stefan
Hallo Stefan,
ich habe mal gehört, das WWWBoard von Matt Wright könne sehr leicht "gehackt" werden. Ist das so?
Generell besteht bei allen CGI-Scripts, die "public" vertrieben werden, das Problem, dass ihr Source-Code bekannt ist, d.h. z.B. auch Dateien, die sie benutzen, Algorithmen, usw. Wenn man sicher gehen will, aendert man diese Defaults.
Im Falle des Forums-Scripts ist das vermutlich nicht ganz so wild, denn so viel Geheimes tut das ja nicht. Aber wenn du das Standard-Admin-Script einsetzen willst, waere wirklich zu ueberlegen, ob du da nicht besser ein paar Sachen umprogrammierst.
Generell wuerde ich aber auch keine Panik schieben. Selbst in diesem Forum hier (auch Matt Wright) bestehen die Hacks eher in Fakes, und gegen die ist schlecht anprogrammieren, da hilft nur "Moderation" ;-)
viele Gruesse
Stefan Muenz
Hi Stefan,
Aber wenn du das Standard-Admin-Script einsetzen willst, waere wirklich zu ueberlegen, ob du da nicht besser ein paar Sachen umprogrammierst.
Wäre es dann nicht am sichersten, das Admin-Script gleich in ein per .htaccess geschütztes cgi-bin-Unterverzeichnis zu legen?
Generell wuerde ich aber auch keine Panik schieben. Selbst in diesem Forum hier (auch Matt Wright) bestehen die Hacks eher in Fakes, und gegen die ist schlecht anprogrammieren, da hilft nur "Moderation" ;-)
Diese "Hacks" meinte ich auch nicht. ;-)
Eher das Löschen von Dateien...
Gruß,
Stefan
Diese "Hacks" meinte ich auch nicht. ;-)
Eher das Löschen von Dateien...
Das wwwboard von Matt Wright im speziellen kenne ich nicht. Wenn es nicht besser ist, als seine anderen Skripts, dann ist es wohl schlecht. Aber das nur als Marginalie.
Das Problem im allgemeinen bei einfachen Boardsystemen ist, dass die Rechte für einige Dateien so gesetzt werden, dass die Welt schreibrechte hat. Das wird dann zum Problem, wenn es auf dem Server einen böswilligen Benutzer gibt, der den Inhalt dann beliebig aendern kann. Möglicherweise ist hier eine Setguid-Lösung sinnvoll.
cu,
Peter
Hallo Peter
Das wwwboard von Matt Wright im speziellen kenne ich nicht. Wenn es nicht besser ist, als seine anderen Skripts, dann ist es wohl schlecht.
Gratulation! du hast es geschafft, in einem wirklich SCHLECHTEN Forum etwas zu posten!
viele Gruesse
Stefan Muenz
Gratulation! du hast es geschafft, in einem wirklich SCHLECHTEN Forum etwas zu posten!
Naja, so schwer war's nicht ;-)
Die Qualität des eingesetzten Sourcecodes sagt ja auch nicht über die Qualität dieses Forums im allgemeinen aus, das ich natürlich nicht angreifen wollte. Es ist schon ok (mehr Emphase steht mir leider nicht zur Verfügung).
cu,
Peter