• IT-Karriere:
  • Services:

Schwieriger Disclosure-Prozess

Wir haben versucht, die Betreiber der betroffenen Webseiten zu erreichen. Bei Hunderten von Betroffenen ist es allerdings kaum praktikabel, diese manuell zu informieren. Die Firma Abusix bietet für derartige Zwecke jedoch einen interessanten Service an: Mittels einer DNS-Anfrage kann man dort zu einer IP-Adresse den passenden Abuse-Kontakt herausfinden.

Stellenmarkt
  1. Felsomat GmbH & Co. KG, Königsbach-Stein
  2. Wahl EMEA Services GmbH, Unterkirnach bei Villingen-Schwenningen (Home-Office möglich)

Wir haben neben anderen Versuchen alle Abuse-Kontakte der IPs, die zu den entsprechenden Webseiten gehören, informiert. In vielen Fällen wurden die Coredumps anschließend gelöscht, doch viele Nachrichten wurden auch ignoriert. Erstaunlich viele Webseiten hatten zudem Abuse-Adressen, die nicht erreichbar waren oder gar keine Abuse-Kontakte.

Einfacher Selbsttest

Da wir nur die Alexa-Top-1-Millionen-Liste gescannt haben sind natürlich zahlreiche kleinere Webseiten betroffen, die wir nicht informiert haben. Ob ein Coredump vorhanden ist, lässt sich relativ trivial testen: Man versucht, die Datei /core von einer Domain herunterzuladen. Falls sich dort eine Datei herunterladen lässt, die wie eine Executable aussieht, gibt es ein Problem.

Unter Linux werden Coredumps im ELF-Format abgelegt. Seltener antreffen dürfte man Mach-O-Dateien, die von OS X verwendet werden. Einige ältere Unix-Derivate nutzen auch das A.Out-Format. Es wäre sicherlich sinnvoll, wenn Sicherheitstests für Webseiten und Pentester diese Lücke bei künftigen Tests berücksichtigen.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
Weitere IT-Trainings

Einmal mehr zeigt sich hier, dass sich von Webservern oft private Daten abrufen lassen, die dort nicht hingehören. Erst kürzlich hatten wir darüber berichtet, wie der Webshop Redcoon und die Seite des Projektes Volksverschlüsselung private Git-Verzeichnisse im Webroot liegen ließen. Und bei der Suchmaschine Ask.com konnte man eine Apache-Status-Seite abrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Anlage von Coredumps im Webroot kann verhindert werden
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.


Folgen Sie uns
       


Übersetzung mit DeepL - Tutorial

Wir zeigen im Video, wie die Windows-Version des Übersetzungsprogramms DeepL funktioniert.

Übersetzung mit DeepL - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /