Moin!

sag mir konkret was du brauchst...einen benutzernamen?

Live-Hacks bringen nichts.

Zum einen: Sie können fehlschlagen. Was wäre dann bewiesen? Die Sicherheit hängt von diversen Aspekten ab.

Zum anderen: Sie können erfolgreich sein. Das behebt dann eine Lücke, nämlich die gefundene, sagt aber nichts aus über weitere existierende Lücken.

Stefan Esser hat unlängst in seinem Blog die Folien eines Vortrags veröffentlicht.

Wenn man sich das PDF mal durchliest, und ein wenig Wissen und Phantasie investiert, kann man sich problemlos ausmalen, wo das Fehlerpotential in vielen Applikationen (in diesem Fall von PHP) liegt.

Um mal nur ein paar Highlights zu extrahieren: Die Behandlung von Sessions in PHP bietet viele eher unbekannte Möglichkeiten, sich Sicherheitsprobleme einzuhandeln. Darunter als Krönung die Möglichkeit, dass sich Lücken erst dadurch ergeben, dass zwei unterschiedliche Applikationen auf dem Server liegen und ungünstig zusammenarbeiten, weil bei der Programmierung vergessen wurde, auf genau diesen Aspekt zu achten. Dabei spielen außerdem auch Fragen der Konfiguration von PHP eine Rolle, nicht nur die pure Programmierung.

Solche Aspekte sind nur schwierig aufzudecken, wenn man eine Applikation nur für sich selbst betrachtet.

Das Spannendste in den Folien war die Behauptung Essers, dass man in phpBB2 das mangelhafte Seeding des Zufallszahlengenerators sowie das Abfragen dessen Resultate nutzen kann, um bei einem parallel installierten Wordpress die Passworte vorherzusagen, die das "Passwort vergessen"-Feature vermeintlich zufällig generiert.

Mit anderen Worten: Selbst wenn du selbst (wie empfohlen) den Zufallszahlengenerator nicht seedest, bist du dennoch davon abhängig, dass alle anderen auf dem Server (nicht nur dem einzelnen VHost) installierten PHP-Skripte ebenfalls vernünftig seeden (also besser NICHT seeden, weil alle PHP-Skripte nur auf einen gemeinsamen Zufallszahlengenerator zugreifen), und auch keine Zufallszahl an den Angreifer bekanntgeben.

- Sven Rautenberg