Michael Schröpl: Frage an die Netzwerk-Spezialisten

Beitrag lesen

Hallo Leute,

ich habe eine Frage an die Spezialisten von der
Netzwerk-Front - insbesondere diejenigen, die sich
mit TCP/IP auskennen.

Ist es möglich, daß ein ankommender HTTP-Request dem
Apache eine willkürliche IP-Adresse vorgaukelt und
trotzdem irgendwie an eine Antwort kommt?

Das Problem besteht letzten Endes darin, daß
gzip_cnc.pl eben nicht _nur_ via Handler-Einbindung,
sondern _auch_ durch direkte URL-Adressierung
aufgerufen werden kann (und sich in beiden Fällen
derzeit etwas zu gleich verhält - ich habe inzwischen
einen Prototyp 1.11, der PATH_INFO mit REDIRECT_URL
vergleicht und 'böse' Zugriffe ablehnt, aber der
ist noch arg wenig getestet ... noch nicht mal auf
meiner eigenen Domain ... bis ich wieder einen
Download anbieten kann, werden wohl noch ein paar
Tage ins Land gehen, die Dokumentation will ja auch
angepaßt werden, und da gibt es einiges zu schreiben).

_Wenn_ es nämlich nicht möglich ist, die IP-Adresse
des Servers, auf welchem gzip_cnc installiert ist,
bei Zugriffen 'von außen' zu fälschen, dann läßt
sich der direkte URL-Zugriff auf das Skript zunageln:
(.htaccess im Installationsverzeichnis des Skripts)

<FilesMatch gzip_cnc.pl>
 order deny,allow
 deny  from all
 allow from meine.eigene.ip.adresse
</FilesMatch>

Die Handler-Einbettung erfolgt durch HTTP-Zugriffe
des Servers selbst - den stört dieser Schutz also
nicht ... die Methode hätte den Vorteil, daß sie ohne
Änderung von des gzip_cnc-Code auskommt und von jedem
Anwender sofort umgesetzt werden könnte.

Natürlich wäre es auch nicht verkehrt,

  • dem Skript einen beliebigen eigenen Namen zu geben,
  • den Selbsttest-Modus abzuschalten und
  • das Senden eigener HTTP-Header abzuschalten
    um einem potentiellen Angreifer den Weg nicht unnötig
    einfach zu machen - das wohl ist der transparenteste
    Betriebs-Modus, den gzip_cnc anbietet ... allerdings
    ist security by obscurity nie wirklich eine tragfähige
    Lösung ...

Viele Grüße
      Michael

0 43

!!! gzip_cnc: Security-Warnung !!!

Michael Schröpl
  • software
  1. 0
    Christian Kruse
    1. 0
      Mathias Bigge
      1. 0
        Test ... Test ...
        1. 0
          Test ... Test ...
          1. 0
            Test ... Test ...
            1. 0

              RTFM

              Orlando
              • zu diesem forum
    2. 0
      Michael Schröpl
      1. 0
        Christian Seiler
        1. 0
          Michael Schröpl
          1. 0
            Christian Seiler
            1. 0
              Michael Schröpl
  2. 0
    Christoph Zurnieden
    1. 0
      Michael Schröpl
  3. 0

    Frage an die Netzwerk-Spezialisten

    Michael Schröpl
    1. 0
      Christian Seiler
      1. 0

        IPs manipulierbar (Nachtrag)

        Christian Seiler
        1. 0
          Sven Rautenberg
          1. 0
            Henryk Plötz
            1. 0
              Michael Schröpl
  4. 0
    Michael Schröpl
    1. 0

      ... gnlpfts ... gzip_cnc 1.11, code review please

      Michael Schröpl
      1. 0
        Christian Kruse
        1. 0
          Michael Schröpl
          1. 0
            Christian Kruse
            1. 0
              Christian Kruse
              1. 0
                Michael Schröpl
                1. 0
                  Christoph Zurnieden
                  1. 0
                    Michael Schröpl
                    1. 0
                      Christoph Zurnieden
                      1. 0
                        Michael Schröpl
                        1. 0
                          Christoph Zurnieden
                          1. 0
                            Michael Schröpl
                            1. 0
                              Christoph Zurnieden
                    2. 0
                      Kai Lahmann
                      1. 0
                        Michael Schröpl
                        1. 0
                          Kai Lahmann
                          1. 0
                            Michael Schröpl
                  2. 0
                    Christian Kruse
                    1. 0
                      Christoph Zurnieden
                      1. 0
                        Christian Kruse
                        1. 0
                          Christoph Zurnieden
  5. 0
    Michael Schröpl