Versteckte Dateien - unterschätztes Sicherheitsrisiko

Veröffentlicht: 26.05.2017 in Know-How und Tipps

Einem Mitarbeiter von toscom fiel bei einem Neukunden auf, dass der Webserver versteckte Dateien an Clients ausliefert und somit ein hohes Sicherheitsrisiko birgt. Dies sind Dateien oder Verzeichnisse, deren Namen mit einem Punkt beginnen und häufig sensible Daten enthalten. Ein Beispiel dafür wäre die Datei ".mysql_history” welche zuletzt verwendete Mysql-Commands aufgelistet hat und dabei auch Passwörter beinhalten kann.

Im Falle dieses Kunden war das Git-Repository der Webanwendung öffentlich zugänglich.

Ein Angreifer hätte sich somit das Repository herunterladen und Datenbank- und Amazon-Web-Services-Zugänge auslesen können. Da die Datenbank nicht durch eine Firewall gesichert war, konnte diese öffentlich erreicht werden. Auf diese Art und Weise war es möglich Zugang zur Datenbank und zur Amazon Server Infrastruktur zu erlangen und das ganze System zu hacken.

Wir von toscom provisionieren alle Server mit einem Konfigurationsmanagement System, welches viele wichtige Sicherheitseinstellungen beinhaltet. Diese basieren auf unserem langjährigen Expertenwissen und wurden bereits mehrfach erprobt. Eine derartige Sicherheitslücke wird bei Installationen durch toscom damit ausgeschlossen.

toscom GmbH | Breiteneckergasse 32, 1230 Wien | +43 720 11 66 06 | office@toscom.at

Alle Preisangaben verstehen sich exkl. MwSt.
Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern auf dieser Website die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

It appears you have deactived JavaScript in your browser. This feature is only available with JavaScript turned on. If you don't want your data to be collected, you can still turn on Do Not Track in your browser which is a general setting and is being respected by our Matomo installation.