Abo
  • Services:

IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand

Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.

Ein Bericht von Hanno Böck veröffentlicht am
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht.
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht. (Bild: Screenshot Hanno Böck)

Ich betreibe eine private Webseite. Diese dient hauptsächlich dazu, eine Liste an Links zu meinen Artikeln, die ich für Golem.de und andere Medien schreibe, zu präsentieren. Die Webseite nutzt dabei PHP, die Linkliste verwalte ich in einer MySQL-Datenbank.

HTTPS, Content Security Policy und Prepared Statements

Inhalt:
  1. IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand
  2. Wie konnte das nur passieren?
  3. PHP macht es dem Nutzer zu einfach, Fehler zu machen

Als jemand, der sich viel mit IT-Sicherheit beschäftigt, versuche ich, auf meiner eigenen Webseite alle mir sinnvoll erscheinenden Sicherheitsmechanismen umzusetzen. Selbstverständlich ist die Seite nur über HTTPS erreichbar. Auch zahlreiche andere, moderne HTTPS- und TLS-Features sind umgesetzt: HTTP Strict Transport Security (HSTS), TLS 1.2 mit authentifizierter Verschlüsselung und Forward Secrecy, CAA-Records und Key-Pinning (HPKP). Der bekannte SSL-Labs-Test bewertet meine TLS-Konfiguration mit A+.

  • Und auf einmal war das Passwort auf der Webseite zu lesen. (Screenshot: Hanno Böck)
  • Die Warnung in der PHP-Doku zu display_errors ist angesichts des<br>Risikos nicht sehr deutlich. (Screenshot: Hanno Böck)
  • Auf die Risiken von fehlendem Exception-Handling in PDO hingegen wird deutlich hingewiesen. (Screenshot: Hanno Böck)
Und auf einmal war das Passwort auf der Webseite zu lesen. (Screenshot: Hanno Böck)

Natürlich bin ich mir auch über die üblichen Angriffsvektoren im Netz im Klaren. Cross-Site-Scripting-Angriffe dürften für meine private Seite zwar eigentlich kein Problem darstellen - es werden keine Nutzereingaben verarbeitet und es gibt weder Cookies, die man stehlen könnte, noch eine Möglichkeit zum Login - aber trotzdem nutze ich Content Security Policy. Außerdem setze ich andere sinnvolle Sicherheitsfeatures mit HTTP-Headern. Der Security-Headers-Check von Scott Helme bescheinigt mir hier ein A. (Ein A+ gibt es nur mit längeren HPKP-Laufzeiten, ich habe mich aus Gründen der Flexibilität dagegen entschieden.)

Auch gegen SQL-Injektionen abgesichert

Eine weitere übliche Sicherheitslücke auf Webseiten sind SQL-Injections. Auch diese sind auf meiner relativ simplen Webseite eher unwahrscheinlich, denn es werden nirgendwo Nutzereingaben verarbeitet. Trotzdem nutze ich Prepared Statements, um SQL-Injections praktisch unmöglich zu machen.

Stellenmarkt
  1. Allianz Deutschland AG, München
  2. Statistisches Bundesamt, Wiesbaden

Ich hatte das Gefühl, dass ich alle üblichen Schutzmaßnahmen gegen Angriffe umgesetzt hatte. Was sollte also schiefgehen?

Ein Screenshot - und darin eine Fehlermeldung samt Passwort

Vor einigen Tagen schickte mir ein Bekannter eine Nachricht - und einen Screenshot. Auf dem Screenshot waren meine Webseite und eine Fehlermeldung zu sehen. In der Fehlermeldung enthalten: ein Stack Trace samt Passwort für die MySQL-Datenbank.

Wie konnte das nur passieren? 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. ab 399€
  2. (reduzierte Überstände, Restposten & Co.)

Astorek 15. Apr 2017

Gibt ja eine Website, die versucht, die bekanntesten Static Website Generatoren zu...

Noppen 15. Apr 2017

Mir ist letztens das Essen angebrannt. Ich würde sagen, dass die eigene Küche...

VigarLunaris 15. Apr 2017

Was soll ich da sagen... config.py enthält die variablen Darin liegen Brent-Hashing PWs...

.:Tim:. 15. Apr 2017

Naja, an das selbstverständlichste auf Produktivsystemen hat er nicht gedacht...

gadthrawn 14. Apr 2017

Es mag nur ein Schalter sein, aber intern wird mit einfachen Schaltern eben viel mehr...


Folgen Sie uns
       


Fazit zu Spider-Man (PS4)

Spider-Man ist trotz ein paar kleiner Schwächen ein gelungenes Spiel, dem wir mit viel Freude ins Netz gehen.

Fazit zu Spider-Man (PS4) Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Mobile-Games-Auslese: Bezahlbare Drachen und dicke Bären
Mobile-Games-Auslese
Bezahlbare Drachen und dicke Bären

Rundenbasierte Strategie auf dem Smartphone mit Chaos Reborn Adventure Fantasy von Nintendo in Dragalia Lost - und dicke Alpha-Bären: Die Mobile Games des Monats bieten spannende Unterhaltung für jeden Geschmack.
Von Rainer Sigl

  1. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs
  2. Mobile-Games-Auslese Barbaren und andere knuddelige Fantasyhelden
  3. Seismic Games Niantic kauft Entwickler von Marvel Strike Force

MacOS Mojave im Test: Mehr als nur dunkel
MacOS Mojave im Test
Mehr als nur dunkel

Wer MacOS Mojave als bloßes Designupdate sieht, liegt falsch. Neben Neuerungen wie dem Dark Mode bringt Apples neues Betriebssystem vieles, was die Produktivität der Nutzer steigern kann - sofern sie sich darauf einlassen.
Ein Test von Andreas Donath

  1. MacOS Mojave Lieber warten mit dem Apple-Update
  2. Apple Öffentliche Beta von MacOS Mojave 10.14 verfügbar
  3. MacOS 10.14 Mojave Apple verabschiedet OpenGL und verbessert Machine Learning

    •  /