Abo
  • IT-Karriere:

Websicherheit: Verräterische Coredumps im Webverzeichnis

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.

Artikel von Hanno Böck veröffentlicht am
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Wenn unter Linux ein Programm abstürzt, kann es eine Kopie des Programmspeichers in einen sogeannten Coredump speichern. Das kann zum Sicherheitsrisiko werden. Wir haben herausgefunden: Bei vielen Webseiten lassen sich die Coredumps von früheren Abstürzen herunterladen.

Inhalt:
  1. Websicherheit: Verräterische Coredumps im Webverzeichnis
  2. Anlage von Coredumps im Webroot kann verhindert werden
  3. Schwieriger Disclosure-Prozess

Die Ursachen der Abstürze können dabei vielfältig sein: Speicherzugriffe auf ungültige Speicherbereiche, Dereferenzierung von Null-Pointern oder endlose Rekursionen von Funktionsaufrufen - sie alle können dazu führen, dass eine Software vom Betriebssystem beendet wird.

Unter Linux und anderen Unix-Systemen gibt es eine Funktion, die bei der Analyse solcher Abstürzte hilft: Sogenannte Coredumps. Dabei wird der Speicherinhalt eines abgestürzten Programms in eine Datei geschrieben. In der Standardeinstellung des Linux-Kernels heißt diese Datei schlicht "core" und wird im aktuellen Verzeichnis abgelegt. Diese Coredumps lassen sich mit Debugging-Tools wie GDB später analysieren, um die Ursache des Crashs herauszufinden.

So hilfreich dies sein kann, Coredumps können auch zum Sicherheitsrisiko werden. Je nach Konfiguration enthalten sie teilweise oder komplett alle Daten, den eine Applikation zum Zeitpunkt des Absturzes im Arbeitsspeicher hatte. Darunter können sich natürlich auch private Daten befinden, beispielsweise Passwörter. Ein Coredump sollte also niemals an nicht vertrauenswürdige Personen weitergegeben werden.

Coredumps lassen sich oft von Webseiten herunterladen

Stellenmarkt
  1. Hong Kong Economic and Trade Office, Berlin
  2. Systemhaus Scheuschner GmbH, Hannover

Doch eine ganze Reihe von Webseiten lassen unbeabsichtigt einen Zugriff auf Coredumps zu. Der Hintergrund: Wenn eine Webapplikation abstürzt, landet der Coredump häufig direkt im Web-Verzeichnis - und kann von dort einfach heruntergeladen werden. Ein Angreifer kann somit Webseiten nach Coredumps absuchen, indem er URLs der Form http://example.com/core abruft.

Bei einem Scan der Alexa-Top-1-Million-Liste waren circa Tausend Webseiten von diesem Problem betroffen. Bei der überwiegenden Mehrzahl handelte es sich um PHP-Applikationen. PHP stürzte in der Vergangenheit relativ häufig ab.

In den vergangenen Jahren wurden sehr viele Bugs gefixt, die in PHP zu Abstürzen führen können, insbesondere da es für PHP seit einiger Zeit ein Bug-Bounty-Programm gibt. Doch nach wie vor kann man PHP mit einfachen Codebeispielen zum Abstürz bringen.

Anlage von Coredumps im Webroot kann verhindert werden 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 529,00€ (zzgl. Versand)
  2. 199,90€

LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.


Folgen Sie uns
       


Lenovo Thinkbook 13s - Test

Das Thinkbook wirkt wie eine Mischung aus teurem Thinkpad und preiswerterem Ideapad. Das klasse Gehäuse und die sehr gute Tastatur zeigen Qualität, das Display und die Akkulaufzeit sind die Punkte, bei denen gespart wurde.

Lenovo Thinkbook 13s - Test Video aufrufen
Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


      •  /