Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency…

Joomla Lösung nicht sicher?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 08:48

    Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen, ziemlich klein sein dürfte. Und selbst wenn: ein Fake-Paket zu buchen dürfte schwer automatisierbar sein, denn es ist das täglich Brot der Hoster sowas zu erkennen. Ein bezahltes Paket wiederum wird sich dafür keiner buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen und 3. hat man ja dann schon einen nutzbaren Webspace.

    Die Einschätzung des Autors teile ich deswegen nicht, das Szenario ist rein hypothetisch.

    Cheers David,
    Joomla Security Team

    P.S.: fun-fact ist übrigens, dass der Autor die Lösung so vorgeschlagen hat...



    1 mal bearbeitet, zuletzt am 29.07.17 08:54 durch JustSnipy.

  2. Re: Joomla Lösung nicht sicher?

    Autor: xUser 29.07.17 - 18:41

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel
    > sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst
    > mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen
    > Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen,
    > ziemlich klein sein dürfte.

    Kannst du ausführen, auf was genau im Artikel du antwortest? Meinem Verständnis nach geht es darum, dass durch den Cert Log die eine Liste neuer Domainnamen ermittelbar ist. Dies Domainnamen kann man dann per Script für die nächsten paar Tage regelmäßig per Script auf aktive ungesperrte Installer prüfen. Dann kann man die Installation automatisiert durchführen und mittels Plugin weiteren Code nachladen. Wenn man dann den Installer wieder freigibt (aka die Installationsschritte rückgängig macht), dann fällt dies unter Umständen gar nicht auf. Das Ganze dauert keine fünf Minuten und schon ist die neue Webseite schon vor der Inbetriebnahme gehackt.

  3. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 19:54

    xUser schrieb:
    --------------------------------------------------------------------------------
    > Kannst du ausführen, auf was genau im Artikel du antwortest?

    Ich beziehe mich darauf, dass der Autor schreibt dass Joomla einen entsprechenden Fix im Installer integriert hat, dieser Fix aber ebenfalls unsicher sei. Diese "Unsicherheit" ist in meinen Augen nur theoretischer Natur, weshalb ich daran zweifle dass diese Formulierung so gerechtfertigt ist.

  4. Re: Joomla Lösung nicht sicher?

    Autor: bjs 29.07.17 - 23:55

    unsicherheiten sind immer solange theoretischer natur, bis sie praktisch ausgenützt werden.

  5. Re: Joomla Lösung nicht sicher?

    Autor: dura 30.07.17 - 13:37

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Ein bezahltes Paket wiederum wird sich dafür keiner
    > buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen
    > und 3. hat man ja dann schon einen nutzbaren Webspace.

    Das sehe ich anders. Erstmal kommt es darauf an, was ich genau mit dem Angriff bezwecke, einfach nur Masse für Spam-Versand/DDoS, etc.? Dann sind diese Ziele vermutlich wirklich erstmal nicht interessant.
    Wenn ich aber gezielter angreifen will und halt gerne im Blog großer Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen Hoster sind, dann geht das vielleicht sogar relativ einfach mit der Datenbank.
    Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten einträgt, dann wird das auch 1-2 Tage funktionieren.

    Und wenn das Botnetz irgendwann groß genug ist, hat man alleine dadurch ja schon Zugriff auf extrem viele Datenbanken.

  6. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 30.07.17 - 16:41

    dura schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich aber gezielter angreifen will und halt gerne im Blog großer
    > Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein
    > CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann
    > sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen
    > Hoster sind, dann geht das vielleicht sogar relativ einfach mit der
    > Datenbank.

    Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel entweder intern oder auf dedizierten System gehostet, sodass es keine Möglichkeit gibt, auf die selbe Maschine zu kommen - bei kleineren Unternehmen widerrum wird aus Kostengründen eher zum Massenhoster gegriffen, wo das Unterfangen ungleich schwieriger wird.

    Davon abgesehen: interessant für gezielte Angriffe dürften hier Unternehmen sein, die nicht unbedingt frisch gegründet sind - und die haben dann in der Regel auch schon seit einiger Zeit ihr Hosting-Paket und liegen somit nicht auf einem "frischen" Server, auf dem du bei einer neuen Buchung landen würdest.

    > Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten
    > einträgt, dann wird das auch 1-2 Tage funktionieren.

    Da unterschätzt du die Hoster etwas denke ich. Die Betrugsversuche sind hier so massiv und alltäglich, das hier im Hintergrund einige Plausibilitätsprüfungen laufen, bevor dein Paket freigeschaltet wird.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. B. Braun Melsungen AG, Melsungen, Tuttlingen
  2. WALHALLA Fachverlag, Regensburg
  3. AEVI International GmbH, Berlin
  4. GEMA International AG, Hamburg, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 629€ + 5,99€ Versand
  2. 56,08€ (Vergleichspreis ab ca. 65€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Core i9-7980XE im Test: Intel braucht 18 Kerne, um AMD zu schlagen
    Core i9-7980XE im Test
    Intel braucht 18 Kerne, um AMD zu schlagen

    Das wollte Intel nicht auf sich sitzen lassen: AMDs Ryzen Threadripper 1950X ist bisher die schnellste Desktop-CPU. Der neue Core i9-7980XE mit 18 Kernen ändert das Machtgefüge wieder, wenn auch zu einem hohen Preis für Käufer - und für Intel.

  2. Bundestagswahl 2017: Ein Hoffnungsschimmer für die Netzpolitik
    Bundestagswahl 2017
    Ein Hoffnungsschimmer für die Netzpolitik

    Der Bundestagswahlkampf ist von der Debatte über die Flüchtlingspolitik dominiert worden. Die Netzpolitik dürfte jedoch profitieren, sollte es zu einer Jamaika-Koalition kommen. Wenn da nicht die CSU wäre.

  3. iZugar: 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt
    iZugar
    220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

    Das Unternehmen iZugar hat ein kleines, aber bemerkenswertes Objektiv auf den Markt gebracht: Das MKX22 ist ein Fisheye-Objektiv für Micro-Four-Thirds-Kameras, das einen Blickwinkel von 220 Grad bietet.


  1. 09:01

  2. 07:52

  3. 07:33

  4. 07:25

  5. 07:17

  6. 19:04

  7. 15:18

  8. 13:34