Christian Wermelinger: Zugriff auf lokales Dateisystem

Beitrag lesen

SELF-Forum

Zugriff auf lokales Dateisystem

Christian Wermelinger
Informationen zu den Bewertungsregeln

Hallo zusammen

Ich muss einen einfachen Webserver Scanner entwickeln, welcher Webserver (Apache oder IIS) auf Schwachstellen überprüft. Das Programm muss webbasiert laufen und soll im Hintergrund auf eine Datenbank mit bekannten Schwachstellen zurückgreifen können.

D.h. eine Firma muss von irgend einem Rechner aus auf die Webserver Scanner Software zugreifen können und damit ihren Webserver scannen können. Der Webserver wird sich nicht zwingendermassen auf der Maschine des Clients befinden, welcher die Software startet bzw. sich in den webbasierten Webserver Scanner einloggt. Natürlich kann das Programm nur von Personen gestartet werden, die über die erforderlichen Zugangsdaten verfügen. Jeder eingeloggte User kann dann auch nur die IP seines Webscanners scannen welche in einer Datenbank hinterlegt ist. So kann vermieden werden dass das Programm als Hackertool eingesetzt wird.

Um zum Beispiel die Konfiguration eines Apache Servers auszulesen, müsste ich also Zugriff auf dessen Konfigurationsdatei (httpd.conf) haben. Dies stelle ich mir nicht so einfach vor. Die ActiveX-Technologie kann ich soviel mir bekannt ist aus folgenden Gründen nicht einsetzen:

  • Der Client welcher den webbasierten Webserver Schachstellen Scanner aufruft muss nicht zwingend der zu scannende Ziel-Rechner sein bzw. den zu analysierenden Webserver beinhalten.
  • Ich vermute das ActiveX nur den Zugriff auf Windows-Systeme erlaubt. Oder liege ich da falsch?

Habe auch schon über SSH (Secure Shell) nachgedacht. Doch das scheint auch nicht möglich zu sein da der zu analysierende Webserver ja nicht zwingend Shell Zugriff erlauben muss bzw. dafür konfiguriert sein müsste. Dies kann natürlich nicht vorausgesetzt werden.

Was für alternative Technologien gibt es? Hat mir jemand einen guten Ratschlag oder eine Idee wie ich da vorgehen könnte? Natürlich sollte ich zumindest das verwende Betriebsystem und die verwendete Webserver Version auslesen können um zu überprüfen ob z.B. der Webserver auf dem aktuellsten Stand ist.

Für jeden Ratschlag bin ich äusserst dankbar!

Gruss
Christian

Beitrag melden
Informationen zu den Bewertungsregeln