Tag-Archive for » Internetserver «

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Günstige SSD Samsung 750 Evo beschleunigt Client und Server

Für den Arbeitsplatzrechner hat es sich schon herumgesprochen, aber auch Internetserver können durch den Einsatz von Halbleiter-Festplatten um mehr als eine Größenordnung beschleunigt werden.

Gerade wenn man auf dem Internetserver Anwendungen fährt, die häufig auf die Festplatte zugreifen müssen (typischerweise Datenbank-Anwendungen), ist die SSD schon länger das Mittel der Wahl, die Auslieferung der Seiten zu beschleunigen.

Dem kommt auch die neue Einstiegsserie SSD 750 Evo von Samsung, die die teureren 850 Evo und 850 Pro ersetzt. Die 2,5-Zoll-Laufwerke der 750-Evo-Reihe sollen bald in Kapazitäten von 120, 250 und 500 GByte zu kaufen sein. Die Anbindung ans System erfolgt per 6-GBit/s-SATA-Schnittstelle. Als Cache dienen 256 MByte DRAM.

Die unverbindlichen Preisempfehlungen liegen für das 120-GByte-Modell bei 65 Euro, für die 250-GByte-Version bei 89 Euro und bei 159 Euro für die 500-GByte-Version. Online ist die mittlere Variante schon ab rund 70 Euro erhältlich.

Kostenlose SSL-Zertifikate von Let’s Encrypt

Eine Kooperation der Internetpioniere Mozilla, Cisco und Akamai hat sich zusammengefunden, um das Internet besser vor Mitlauschern wie BND, NSA, CIA, Konkurrenten oder Politikern zu schützen.

Ziel ist, dass verschlüsselte Verbindungen zum Standard im Netz werden. Um das zu erreichen, stellt die gemeinsame Initiative „Let’s Encrypt“ kostenlos und auch unbürokratisch SSL-Zertifikate aus. Dazu gibt es auch ein Software-Werkzeug, das Internetservern im Handumdrehen https:// beibringt.

Die gute Neuigkeit dazu für Internetschaffende: Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab übernächster Woche kann also jedermann ein solches kostenloses Zertifikat beantragen, das man zur TLS-Verschlüsselung von Internetseiten benutzen kann. Die bisherige Anforderung, sich für das Betaprogramm erst zu registrieren oder auf eine Einladung zu warten, entfällt damit.

Das eigentliche Bonbon an SSL-verschlüsselten Seiten ist aber nicht unbedingt die kostenlose Abgabe der Zertifikate: Die Suchmaschine Google bewertet nämlich SSL-verschlüsselte Internetseiten deutlich höher als unverschlüsselte.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

Die Scriptsprache PHP wird heute 20

phpDie Scriptsprache PHP ist einfach zu erlernen, und mit ihr kann man schnell Internetseiten und auch sehr komplexe Webanwendungen erstellen.

Deshalb ist PHP auch trotz aller Kritik selbst zwanzig Jahre nach seiner Einführung noch immer die meist genutzte Programmiersprache auf den Servern im Internet.

Vor genau zwanzig Jahren hat Rasmus Lerdorf die Personal Home Page Tools (PHP Tools) veröffentlicht – das war die Geburtsstunde der beliebtesten aller Scriptsprachen.

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente.

Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung.

Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

Verräterische Statusseiten beim Webserver Apache

Eine Untersuchung von Securi deckte auf, dass viele Internetserver ihre Statusseiten öffentlich anzeigen. Dabei können natürlich die IP-Adressen oder sogar Passwörter der Besucher verraten werden. Bei Bezahldienstleistern erscheinen auf den Seiten unter Umständen Sitzungstoken, über die man die gesamte Sitzung entführen und echte Schäden anrichten kann.

Eine Liste der vom Automatiktest von Securi gefundenen Server mit offenen Statusseiten wurde unter Urlfind.org ins Internet gestellt.

Ursache dafür ist eine fehlerhafte Konfiguration des Apache-Tools  mod_status. Wie man das korrekt konfiguriert, findet sich in der Apache-Dokumentation.