Versteckte Dateien - unterschätztes Sicherheitsrisiko
Einem Mitarbeiter von toscom fiel bei einem Neukunden auf, dass der Webserver versteckte Dateien an Clients ausliefert und somit ein hohes Sicherheitsrisiko birgt. Dies sind Dateien oder Verzeichnisse, deren Namen mit einem Punkt beginnen und häufig sensible Daten enthalten. Ein Beispiel dafür wäre die Datei ".mysql_history” welche zuletzt verwendete Mysql-Commands aufgelistet hat und dabei auch Passwörter beinhalten kann.
Im Falle dieses Kunden war das Git-Repository der Webanwendung öffentlich zugänglich.
Ein Angreifer hätte sich somit das Repository herunterladen und Datenbank- und Amazon-Web-Services-Zugänge auslesen können. Da die Datenbank nicht durch eine Firewall gesichert war, konnte diese öffentlich erreicht werden. Auf diese Art und Weise war es möglich Zugang zur Datenbank und zur Amazon Server Infrastruktur zu erlangen und das ganze System zu hacken.
Wir von toscom provisionieren alle Server mit einem Konfigurationsmanagement System, welches viele wichtige Sicherheitseinstellungen beinhaltet. Diese basieren auf unserem langjährigen Expertenwissen und wurden bereits mehrfach erprobt. Eine derartige Sicherheitslücke wird bei Installationen durch toscom damit ausgeschlossen.
Neueste Beiträge
- Christian Rusa - technischer Leiter mit einer Leidenschaft für analoge Fotografie
- Armin Schreger - der kluge Kopf hinter unserer Software
- SPF, DKIM, DMARC - E-Mail-Richtlinien verschärfen sich
- Wir feiern 20 Jahre toscom! - Philipp Kobel im Interview
- toscomBits: DDos-Attacke - was nun?
- Sabine Kobel-Maringer stellt sich vor
- 3 Fragen zu Ihrer neuen Website – ein effizienter Projektstart garantiert
Kontakt
Über toscom
Seit 2003 machen wir nicht nur Webentwicklern das Leben leichter. Als leidenschaftliche Techniker lieben wir gute Lösungen und als 100% remote Company effiziente Abläufe und Kommunikation.
Lernen Sie uns, unsere Partner und unsere Kunden kennen.