Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency…

Joomla Lösung nicht sicher?

  1. Thema

Neues Thema Ansicht wechseln


  1. Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 08:48

    Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen, ziemlich klein sein dürfte. Und selbst wenn: ein Fake-Paket zu buchen dürfte schwer automatisierbar sein, denn es ist das täglich Brot der Hoster sowas zu erkennen. Ein bezahltes Paket wiederum wird sich dafür keiner buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen und 3. hat man ja dann schon einen nutzbaren Webspace.

    Die Einschätzung des Autors teile ich deswegen nicht, das Szenario ist rein hypothetisch.

    Cheers David,
    Joomla Security Team

    P.S.: fun-fact ist übrigens, dass der Autor die Lösung so vorgeschlagen hat...



    1 mal bearbeitet, zuletzt am 29.07.17 08:54 durch JustSnipy.

  2. Re: Joomla Lösung nicht sicher?

    Autor: xUser 29.07.17 - 18:41

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel
    > sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst
    > mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen
    > Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen,
    > ziemlich klein sein dürfte.

    Kannst du ausführen, auf was genau im Artikel du antwortest? Meinem Verständnis nach geht es darum, dass durch den Cert Log die eine Liste neuer Domainnamen ermittelbar ist. Dies Domainnamen kann man dann per Script für die nächsten paar Tage regelmäßig per Script auf aktive ungesperrte Installer prüfen. Dann kann man die Installation automatisiert durchführen und mittels Plugin weiteren Code nachladen. Wenn man dann den Installer wieder freigibt (aka die Installationsschritte rückgängig macht), dann fällt dies unter Umständen gar nicht auf. Das Ganze dauert keine fünf Minuten und schon ist die neue Webseite schon vor der Inbetriebnahme gehackt.

  3. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 19:54

    xUser schrieb:
    --------------------------------------------------------------------------------
    > Kannst du ausführen, auf was genau im Artikel du antwortest?

    Ich beziehe mich darauf, dass der Autor schreibt dass Joomla einen entsprechenden Fix im Installer integriert hat, dieser Fix aber ebenfalls unsicher sei. Diese "Unsicherheit" ist in meinen Augen nur theoretischer Natur, weshalb ich daran zweifle dass diese Formulierung so gerechtfertigt ist.

  4. Re: Joomla Lösung nicht sicher?

    Autor: Anonymer Nutzer 29.07.17 - 23:55

    unsicherheiten sind immer solange theoretischer natur, bis sie praktisch ausgenützt werden.

  5. Re: Joomla Lösung nicht sicher?

    Autor: dura 30.07.17 - 13:37

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Ein bezahltes Paket wiederum wird sich dafür keiner
    > buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen
    > und 3. hat man ja dann schon einen nutzbaren Webspace.

    Das sehe ich anders. Erstmal kommt es darauf an, was ich genau mit dem Angriff bezwecke, einfach nur Masse für Spam-Versand/DDoS, etc.? Dann sind diese Ziele vermutlich wirklich erstmal nicht interessant.
    Wenn ich aber gezielter angreifen will und halt gerne im Blog großer Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen Hoster sind, dann geht das vielleicht sogar relativ einfach mit der Datenbank.
    Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten einträgt, dann wird das auch 1-2 Tage funktionieren.

    Und wenn das Botnetz irgendwann groß genug ist, hat man alleine dadurch ja schon Zugriff auf extrem viele Datenbanken.

  6. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 30.07.17 - 16:41

    dura schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich aber gezielter angreifen will und halt gerne im Blog großer
    > Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein
    > CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann
    > sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen
    > Hoster sind, dann geht das vielleicht sogar relativ einfach mit der
    > Datenbank.

    Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel entweder intern oder auf dedizierten System gehostet, sodass es keine Möglichkeit gibt, auf die selbe Maschine zu kommen - bei kleineren Unternehmen widerrum wird aus Kostengründen eher zum Massenhoster gegriffen, wo das Unterfangen ungleich schwieriger wird.

    Davon abgesehen: interessant für gezielte Angriffe dürften hier Unternehmen sein, die nicht unbedingt frisch gegründet sind - und die haben dann in der Regel auch schon seit einiger Zeit ihr Hosting-Paket und liegen somit nicht auf einem "frischen" Server, auf dem du bei einer neuen Buchung landen würdest.

    > Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten
    > einträgt, dann wird das auch 1-2 Tage funktionieren.

    Da unterschätzt du die Hoster etwas denke ich. Die Betrugsversuche sind hier so massiv und alltäglich, das hier im Hintergrund einige Plausibilitätsprüfungen laufen, bevor dein Paket freigeschaltet wird.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. P.E.G. Einkaufs- und Betriebsgenossenschaft eG, München
  2. PTV Group, Karlsruhe
  3. ServiceXpert GmbH, Hamburg
  4. Knorr-Bremse Systeme für Nutzfahrzeuge GmbH, Schwieberdingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. ab 399€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

WLAN-Standards umbenannt: Ein Schritt nach vorn ist nicht weit genug
WLAN-Standards umbenannt
Ein Schritt nach vorn ist nicht weit genug

Endlich weichen die nervigen Bezeichnungen für WLANs chronologisch sinnvollen. Doch die Wi-Fi Alliance sollte noch einen Schritt weiter gehen.
Ein IMHO von Oliver Nickel

  1. Wi-Fi 6 WLAN-Standards werden für besseres Verständnis umbenannt
  2. Wifi4EU Fast 19.000 Kommunen wollen kostenloses EU-WLAN
  3. Berlin Bund der Steuerzahler gegen freies WLAN

  1. GPU-Z: Software erkennt Fake-Grafikkarten
    GPU-Z
    Software erkennt Fake-Grafikkarten

    Die neue Version von GPU-Z informiert Nutzer darüber, ob die verbaute Grafikkarte ein gefälschtes Modell ist. Das ist wichtig, denn Fakes mit uralter GPU werden als aktuelle Mittelklasse-Pixelbeschleuniger angeboten. Zudem kann nun die Firmware von Turing-Karten ausgelesen werden.

  2. Browser: Mozilla bestätigt Support-Ende für RSS in Firefox
    Browser
    Mozilla bestätigt Support-Ende für RSS in Firefox

    Der Plan zum Entfernen der RSS-Unterstützung in Firefox wird konkreter. Der zuständige Mozilla-Entwickler beschreibt nun den geplanten Übergang für Nutzer und wiederholt erneut die Argumente für das Support-Ende der freien Webtechnik.

  3. Galaxy A9 im Hands on: Samsung bietet vier
    Galaxy A9 im Hands on
    Samsung bietet vier

    Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.


  1. 10:15

  2. 09:20

  3. 09:02

  4. 08:00

  5. 07:31

  6. 07:15

  7. 13:06

  8. 12:17