Nehmen wir einmal folgende Webseite:
Sieht aus wie eine Webseite des Springer-Verlags (nein, nicht der Axel-Springer Verlag mit der Bildzeitung sondern der seriöse Fachbuchverlag!) zum dazugehörigen Buch und richtet sich offensichtlich an Ärzte und Krankenhäuser.
Auf diese Seite bin ich durch folgende Google-Suche gestoßen: „inurl:inspectMBean site:de„. Gleich das zweite Suchergebnis führt zu dieser Seite, allerdings mit einer etwas anderen URL:
Und jetzt wird es spannend. Ich glaube nicht, dass diese Seite aus dem Internet heraus aufrufbar sein sollte. Da hat vermutlich jemand mit den Zugriffsrechten geschlampt. Das soll aber nicht mein Problem sein, der § 202a StGB ist da recht trocken. Und eine Zugangssicherung kann ich beim besten Willen nicht erkennen.
Also weiter im Text: Da handelt es sich offensichtlich um einen JBoss-Server und der Port 8080 wird nicht durch eine Firewall blockiert. Darüber lässt sich wunderschön in die Eingeweide des Servers schauen.
Der Tomcat-Status zeigt uns beispielsweise an, was auf dem Server so los ist. Oder man wirft einen Blick in die JMX Console. Aha, da sieht man z.B. wer so die Mails sendet und empfängt. Oder man sieht, dass eine HyperSonic Datenbank mit sa-User verwendet wird.
Da sind übrigens ganz viele lustige Felder bei denen man was eingeben kann und darunter gibt es so einen „Apply Changes“ Knopf. Ich weiß nicht, ob das so eine gute Idee ist. Vielleicht sollte man da die Finger weglassen, wenn man nicht mit dem § 303a StGB in Konflikt kommen will.
Aber unabhängig davon: Keine Firewall (es handelt sich um einen Shared Server bei einem Provider), Zugriffsrechte für das JBoss-Verzeichnis falsch gesetzt und bei Google steht der Server auch schon im Index … für mich scheint das eine schöne krasse Sicherheitslücke zu sein. Kleiner Tipp, ein Penetrationstest von uns würde solche Lücken finden. Garantiert!
Nachtrag:
Ich wollte Springer das Problem ja per Mail schicken:
RCPT To: <secure@springer.com> 550 5.1.1 unknown or illegal alias: secure@springer.com RCPT To: <security@springer.com> 550 5.1.1 unknown or illegal alias: security@springer.com
Aber wer sich nicht an RFC 2142 hält, verdient es nicht anders.
Kommentare gesperrt wegen Spam
Comment by Christian — 24. Dezember 2008 @ 05:07