Abo
  • Services:

Schwieriger Disclosure-Prozess

Wir haben versucht, die Betreiber der betroffenen Webseiten zu erreichen. Bei Hunderten von Betroffenen ist es allerdings kaum praktikabel, diese manuell zu informieren. Die Firma Abusix bietet für derartige Zwecke jedoch einen interessanten Service an: Mittels einer DNS-Anfrage kann man dort zu einer IP-Adresse den passenden Abuse-Kontakt herausfinden.

Stellenmarkt
  1. Hays AG, Braunschweig
  2. Weber Maschinenbau GmbH Breidenbach, Breidenbach

Wir haben neben anderen Versuchen alle Abuse-Kontakte der IPs, die zu den entsprechenden Webseiten gehören, informiert. In vielen Fällen wurden die Coredumps anschließend gelöscht, doch viele Nachrichten wurden auch ignoriert. Erstaunlich viele Webseiten hatten zudem Abuse-Adressen, die nicht erreichbar waren oder gar keine Abuse-Kontakte.

Einfacher Selbsttest

Da wir nur die Alexa-Top-1-Millionen-Liste gescannt haben sind natürlich zahlreiche kleinere Webseiten betroffen, die wir nicht informiert haben. Ob ein Coredump vorhanden ist, lässt sich relativ trivial testen: Man versucht, die Datei /core von einer Domain herunterzuladen. Falls sich dort eine Datei herunterladen lässt, die wie eine Executable aussieht, gibt es ein Problem.

Unter Linux werden Coredumps im ELF-Format abgelegt. Seltener antreffen dürfte man Mach-O-Dateien, die von OS X verwendet werden. Einige ältere Unix-Derivate nutzen auch das A.Out-Format. Es wäre sicherlich sinnvoll, wenn Sicherheitstests für Webseiten und Pentester diese Lücke bei künftigen Tests berücksichtigen.

Einmal mehr zeigt sich hier, dass sich von Webservern oft private Daten abrufen lassen, die dort nicht hingehören. Erst kürzlich hatten wir darüber berichtet, wie der Webshop Redcoon und die Seite des Projektes Volksverschlüsselung private Git-Verzeichnisse im Webroot liegen ließen. Und bei der Suchmaschine Ask.com konnte man eine Apache-Status-Seite abrufen.

 Anlage von Coredumps im Webroot kann verhindert werden
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. 6,99€
  2. 11,19€ inkl. USK18-Versand
  3. 0,00€
  4. 0,00€

LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.


Folgen Sie uns
       


Vayyar Smart Home - Hands on

Vayyar hat auf der Ifa 2018 Vayyar Home vorgestellt. Die Box kann in einem Raum eine gestürzte Person erkennen und Hilfe rufen.

Vayyar Smart Home - Hands on Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Indiegames-Rundschau: Unsterbliche Seelen und mexikanische Muskelmänner
Indiegames-Rundschau
Unsterbliche Seelen und mexikanische Muskelmänner

Düstere Abenteuer für Fans von Dark Souls in Immortal Unchained, farbenfrohe Geschicklichkeitstests in Guacamelee 2 und morbides Management in Graveyard Keeper - und endlich auf Toilette gehen: Golem.de stellt die besten neuen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Kalte Krieger und bärtige Berliner
  2. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  3. Indiegames-Rundschau Schiffbruch, Anime und viel Brummbrumm

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    •  /