Abo
  • IT-Karriere:

Websicherheit: Verräterische Coredumps im Webverzeichnis

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.

Artikel von Hanno Böck veröffentlicht am
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Wenn unter Linux ein Programm abstürzt, kann es eine Kopie des Programmspeichers in einen sogeannten Coredump speichern. Das kann zum Sicherheitsrisiko werden. Wir haben herausgefunden: Bei vielen Webseiten lassen sich die Coredumps von früheren Abstürzen herunterladen.

Inhalt:
  1. Websicherheit: Verräterische Coredumps im Webverzeichnis
  2. Anlage von Coredumps im Webroot kann verhindert werden
  3. Schwieriger Disclosure-Prozess

Die Ursachen der Abstürze können dabei vielfältig sein: Speicherzugriffe auf ungültige Speicherbereiche, Dereferenzierung von Null-Pointern oder endlose Rekursionen von Funktionsaufrufen - sie alle können dazu führen, dass eine Software vom Betriebssystem beendet wird.

Unter Linux und anderen Unix-Systemen gibt es eine Funktion, die bei der Analyse solcher Abstürzte hilft: Sogenannte Coredumps. Dabei wird der Speicherinhalt eines abgestürzten Programms in eine Datei geschrieben. In der Standardeinstellung des Linux-Kernels heißt diese Datei schlicht "core" und wird im aktuellen Verzeichnis abgelegt. Diese Coredumps lassen sich mit Debugging-Tools wie GDB später analysieren, um die Ursache des Crashs herauszufinden.

So hilfreich dies sein kann, Coredumps können auch zum Sicherheitsrisiko werden. Je nach Konfiguration enthalten sie teilweise oder komplett alle Daten, den eine Applikation zum Zeitpunkt des Absturzes im Arbeitsspeicher hatte. Darunter können sich natürlich auch private Daten befinden, beispielsweise Passwörter. Ein Coredump sollte also niemals an nicht vertrauenswürdige Personen weitergegeben werden.

Coredumps lassen sich oft von Webseiten herunterladen

Stellenmarkt
  1. Formware GmbH, Nußdorf am Inn
  2. Reply AG, Berlin, Bremen, Hamburg

Doch eine ganze Reihe von Webseiten lassen unbeabsichtigt einen Zugriff auf Coredumps zu. Der Hintergrund: Wenn eine Webapplikation abstürzt, landet der Coredump häufig direkt im Web-Verzeichnis - und kann von dort einfach heruntergeladen werden. Ein Angreifer kann somit Webseiten nach Coredumps absuchen, indem er URLs der Form http://example.com/core abruft.

Bei einem Scan der Alexa-Top-1-Million-Liste waren circa Tausend Webseiten von diesem Problem betroffen. Bei der überwiegenden Mehrzahl handelte es sich um PHP-Applikationen. PHP stürzte in der Vergangenheit relativ häufig ab.

In den vergangenen Jahren wurden sehr viele Bugs gefixt, die in PHP zu Abstürzen führen können, insbesondere da es für PHP seit einiger Zeit ein Bug-Bounty-Programm gibt. Doch nach wie vor kann man PHP mit einfachen Codebeispielen zum Abstürz bringen.

Anlage von Coredumps im Webroot kann verhindert werden 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 4,67€
  2. (-65%) 3,50€
  3. 4,99€
  4. 4,99€

LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.


Folgen Sie uns
       


Huawei P30 Pro - Test

5fach-Teleobjektiv und lichtstarker Sensor - das Huawei P30 Pro hat im Moment die beste Smartphone-Kamera.

Huawei P30 Pro - Test Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /