26. Dezember 2007

Google, Jboss und die Zugriffsrechte

Category: Hacking,Internet — Christian @ 23:37

Nehmen wir einmal folgende Webseite:

Sieht aus wie eine Webseite des Springer-Verlags (nein, nicht der Axel-Springer Verlag mit der Bildzeitung sondern der seriöse Fachbuchverlag!) zum dazugehörigen Buch und richtet sich offensichtlich an Ärzte und Krankenhäuser.

Auf diese Seite bin ich durch folgende Google-Suche gestoßen: „inurl:inspectMBean site:de„. Gleich das zweite Suchergebnis führt zu dieser Seite, allerdings mit einer etwas anderen URL:

Und jetzt wird es spannend. Ich glaube nicht, dass diese Seite aus dem Internet heraus aufrufbar sein sollte. Da hat vermutlich jemand mit den Zugriffsrechten geschlampt. Das soll aber nicht mein Problem sein, der § 202a StGB ist da recht trocken. Und eine Zugangssicherung kann ich beim besten Willen nicht erkennen.

Also weiter im Text: Da handelt es sich offensichtlich um einen JBoss-Server und der Port 8080 wird nicht durch eine Firewall blockiert. Darüber lässt sich wunderschön in die Eingeweide des Servers schauen.

Der Tomcat-Status zeigt uns beispielsweise an, was auf dem Server so los ist. Oder man wirft einen Blick in die JMX Console. Aha, da sieht man z.B. wer so die Mails sendet und empfängt. Oder man sieht, dass eine HyperSonic Datenbank mit sa-User verwendet wird.

Da sind übrigens ganz viele lustige Felder bei denen man was eingeben kann und darunter gibt es so einen „Apply Changes“ Knopf. Ich weiß nicht, ob das so eine gute Idee ist. Vielleicht sollte man da die Finger weglassen, wenn man nicht mit dem § 303a StGB in Konflikt kommen will.

Aber unabhängig davon: Keine Firewall (es handelt sich um einen Shared Server bei einem Provider), Zugriffsrechte für das JBoss-Verzeichnis falsch gesetzt und bei Google steht der Server auch schon im Index … für mich scheint das eine schöne krasse Sicherheitslücke zu sein. Kleiner Tipp, ein Penetrationstest von uns würde solche Lücken finden. Garantiert!

Nachtrag:

Ich wollte Springer das Problem ja per Mail schicken:

RCPT To: <secure@springer.com>
550 5.1.1 unknown or illegal alias: secure@springer.com
RCPT To: <security@springer.com>
550 5.1.1 unknown or illegal alias: security@springer.com

Aber wer sich nicht an RFC 2142 hält, verdient es nicht anders.

Weihnachtsgeschenke

Category: Offtopic — Christian @ 23:35

Lustig … ich habe von Ernst & Young, genau, den Ernst & Young die ich immer wegen verlorenen Laptops bashe ein Weihnachtsgeschenk bekommen. Eine speziell für Ernst & Young angefertigte Musik-CD mit dem Titel „The Rhythm You Need To Succeed“.

Wir sind kein Ernst & Young Kunde und viel zu klein um jemals Kunde zu werden. Ernst & Young ist auch kein Kunde von uns, zumindest die USA-Niederlassung wäre bei unseren Security Audits als Mitbewerber zu sehen.

Verstehe ich nicht. Soll mir das was sagen?