Abo
  • IT-Karriere:

IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand

Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.

Ein Bericht von Hanno Böck veröffentlicht am
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht.
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht. (Bild: Screenshot Hanno Böck)

Ich betreibe eine private Webseite. Diese dient hauptsächlich dazu, eine Liste an Links zu meinen Artikeln, die ich für Golem.de und andere Medien schreibe, zu präsentieren. Die Webseite nutzt dabei PHP, die Linkliste verwalte ich in einer MySQL-Datenbank.

HTTPS, Content Security Policy und Prepared Statements

Inhalt:
  1. IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand
  2. Wie konnte das nur passieren?
  3. PHP macht es dem Nutzer zu einfach, Fehler zu machen

Als jemand, der sich viel mit IT-Sicherheit beschäftigt, versuche ich, auf meiner eigenen Webseite alle mir sinnvoll erscheinenden Sicherheitsmechanismen umzusetzen. Selbstverständlich ist die Seite nur über HTTPS erreichbar. Auch zahlreiche andere, moderne HTTPS- und TLS-Features sind umgesetzt: HTTP Strict Transport Security (HSTS), TLS 1.2 mit authentifizierter Verschlüsselung und Forward Secrecy, CAA-Records und Key-Pinning (HPKP). Der bekannte SSL-Labs-Test bewertet meine TLS-Konfiguration mit A+.

  • Und auf einmal war das Passwort auf der Webseite zu lesen. (Screenshot: Hanno Böck)
  • Die Warnung in der PHP-Doku zu display_errors ist angesichts des<br>Risikos nicht sehr deutlich. (Screenshot: Hanno Böck)
  • Auf die Risiken von fehlendem Exception-Handling in PDO hingegen wird deutlich hingewiesen. (Screenshot: Hanno Böck)
Und auf einmal war das Passwort auf der Webseite zu lesen. (Screenshot: Hanno Böck)

Natürlich bin ich mir auch über die üblichen Angriffsvektoren im Netz im Klaren. Cross-Site-Scripting-Angriffe dürften für meine private Seite zwar eigentlich kein Problem darstellen - es werden keine Nutzereingaben verarbeitet und es gibt weder Cookies, die man stehlen könnte, noch eine Möglichkeit zum Login - aber trotzdem nutze ich Content Security Policy. Außerdem setze ich andere sinnvolle Sicherheitsfeatures mit HTTP-Headern. Der Security-Headers-Check von Scott Helme bescheinigt mir hier ein A. (Ein A+ gibt es nur mit längeren HPKP-Laufzeiten, ich habe mich aus Gründen der Flexibilität dagegen entschieden.)

Auch gegen SQL-Injektionen abgesichert

Eine weitere übliche Sicherheitslücke auf Webseiten sind SQL-Injections. Auch diese sind auf meiner relativ simplen Webseite eher unwahrscheinlich, denn es werden nirgendwo Nutzereingaben verarbeitet. Trotzdem nutze ich Prepared Statements, um SQL-Injections praktisch unmöglich zu machen.

Stellenmarkt
  1. Beta Systems Software AG, Berlin
  2. Hectronic GmbH, Bonndorf im Schwarzwald

Ich hatte das Gefühl, dass ich alle üblichen Schutzmaßnahmen gegen Angriffe umgesetzt hatte. Was sollte also schiefgehen?

Ein Screenshot - und darin eine Fehlermeldung samt Passwort

Vor einigen Tagen schickte mir ein Bekannter eine Nachricht - und einen Screenshot. Auf dem Screenshot waren meine Webseite und eine Fehlermeldung zu sehen. In der Fehlermeldung enthalten: ein Stack Trace samt Passwort für die MySQL-Datenbank.

Wie konnte das nur passieren? 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 3,99€
  2. (-77%) 3,45€
  3. 2,99€
  4. 4,99€

Astorek 15. Apr 2017

Gibt ja eine Website, die versucht, die bekanntesten Static Website Generatoren zu...

Noppen 15. Apr 2017

Mir ist letztens das Essen angebrannt. Ich würde sagen, dass die eigene Küche...

VigarLunaris 15. Apr 2017

Was soll ich da sagen... config.py enthält die variablen Darin liegen Brent-Hashing PWs...

.:Tim:. 15. Apr 2017

Naja, an das selbstverständlichste auf Produktivsystemen hat er nicht gedacht...

gadthrawn 14. Apr 2017

Es mag nur ein Schalter sein, aber intern wird mit einfachen Schaltern eben viel mehr...


Folgen Sie uns
       


Asus Zephyrus G GA502 - Test

Sparsamer Sprinter mit dunklem Display: das Zephyrus G GA502 im Test.

Asus Zephyrus G GA502 - Test Video aufrufen
Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /