Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency…

Joomla Lösung nicht sicher?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 08:48

    Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen, ziemlich klein sein dürfte. Und selbst wenn: ein Fake-Paket zu buchen dürfte schwer automatisierbar sein, denn es ist das täglich Brot der Hoster sowas zu erkennen. Ein bezahltes Paket wiederum wird sich dafür keiner buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen und 3. hat man ja dann schon einen nutzbaren Webspace.

    Die Einschätzung des Autors teile ich deswegen nicht, das Szenario ist rein hypothetisch.

    Cheers David,
    Joomla Security Team

    P.S.: fun-fact ist übrigens, dass der Autor die Lösung so vorgeschlagen hat...



    1 mal bearbeitet, zuletzt am 29.07.17 08:54 durch JustSnipy.

  2. Re: Joomla Lösung nicht sicher?

    Autor: xUser 29.07.17 - 18:41

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel
    > sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst
    > mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen
    > Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen,
    > ziemlich klein sein dürfte.

    Kannst du ausführen, auf was genau im Artikel du antwortest? Meinem Verständnis nach geht es darum, dass durch den Cert Log die eine Liste neuer Domainnamen ermittelbar ist. Dies Domainnamen kann man dann per Script für die nächsten paar Tage regelmäßig per Script auf aktive ungesperrte Installer prüfen. Dann kann man die Installation automatisiert durchführen und mittels Plugin weiteren Code nachladen. Wenn man dann den Installer wieder freigibt (aka die Installationsschritte rückgängig macht), dann fällt dies unter Umständen gar nicht auf. Das Ganze dauert keine fünf Minuten und schon ist die neue Webseite schon vor der Inbetriebnahme gehackt.

  3. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 19:54

    xUser schrieb:
    --------------------------------------------------------------------------------
    > Kannst du ausführen, auf was genau im Artikel du antwortest?

    Ich beziehe mich darauf, dass der Autor schreibt dass Joomla einen entsprechenden Fix im Installer integriert hat, dieser Fix aber ebenfalls unsicher sei. Diese "Unsicherheit" ist in meinen Augen nur theoretischer Natur, weshalb ich daran zweifle dass diese Formulierung so gerechtfertigt ist.

  4. Re: Joomla Lösung nicht sicher?

    Autor: bjs 29.07.17 - 23:55

    unsicherheiten sind immer solange theoretischer natur, bis sie praktisch ausgenützt werden.

  5. Re: Joomla Lösung nicht sicher?

    Autor: dura 30.07.17 - 13:37

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Ein bezahltes Paket wiederum wird sich dafür keiner
    > buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen
    > und 3. hat man ja dann schon einen nutzbaren Webspace.

    Das sehe ich anders. Erstmal kommt es darauf an, was ich genau mit dem Angriff bezwecke, einfach nur Masse für Spam-Versand/DDoS, etc.? Dann sind diese Ziele vermutlich wirklich erstmal nicht interessant.
    Wenn ich aber gezielter angreifen will und halt gerne im Blog großer Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen Hoster sind, dann geht das vielleicht sogar relativ einfach mit der Datenbank.
    Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten einträgt, dann wird das auch 1-2 Tage funktionieren.

    Und wenn das Botnetz irgendwann groß genug ist, hat man alleine dadurch ja schon Zugriff auf extrem viele Datenbanken.

  6. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 30.07.17 - 16:41

    dura schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich aber gezielter angreifen will und halt gerne im Blog großer
    > Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein
    > CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann
    > sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen
    > Hoster sind, dann geht das vielleicht sogar relativ einfach mit der
    > Datenbank.

    Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel entweder intern oder auf dedizierten System gehostet, sodass es keine Möglichkeit gibt, auf die selbe Maschine zu kommen - bei kleineren Unternehmen widerrum wird aus Kostengründen eher zum Massenhoster gegriffen, wo das Unterfangen ungleich schwieriger wird.

    Davon abgesehen: interessant für gezielte Angriffe dürften hier Unternehmen sein, die nicht unbedingt frisch gegründet sind - und die haben dann in der Regel auch schon seit einiger Zeit ihr Hosting-Paket und liegen somit nicht auf einem "frischen" Server, auf dem du bei einer neuen Buchung landen würdest.

    > Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten
    > einträgt, dann wird das auch 1-2 Tage funktionieren.

    Da unterschätzt du die Hoster etwas denke ich. Die Betrugsversuche sind hier so massiv und alltäglich, das hier im Hintergrund einige Plausibilitätsprüfungen laufen, bevor dein Paket freigeschaltet wird.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über OPTARES GmbH & Co. KG, Großraum München
  2. BWI GmbH, Nürnberg, München
  3. Deutsche Hypothekenbank (Actien-Gesellschaft), Hannover
  4. Robert Bosch GmbH, Bamberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Xbox One S - Alle 500 GB Bundles stark reduziert, z. B. Xbox One S inkl. Forza Horizon 3 nur 179...
  2. (u. a. 15% auf SSDs, Sony-TVs 15% günstiger, 20% auf Samsung-Monitore, Tablets und Smartphones...
  3. (u. a. Samsung 850 Pro 256 GB 109,90€, Core i7-7700K 299,00€, Ryzen 5 1600X 199,90€, Oculus...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Oneplus 5T im Test: Praktische Änderungen ohne Preiserhöhung
Oneplus 5T im Test
Praktische Änderungen ohne Preiserhöhung
  1. Smartphone Neues Oneplus 5T kostet weiterhin 500 Euro
  2. Sicherheitsrisiko Oneplus-Smartphones kommen mit eingebautem Root-Zugang
  3. Smartphone-Hersteller Oneplus will Datensammlung einschränken

Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Pocket Camp Animal Crossing baut auf Smartphones
  2. Disney Marvel Heroes wird geschlossen
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Smartphone-Kameras im Test Die beste Kamera ist die, die man dabeihat
  3. Librem 5 Das freie Linux-Smartphone ist finanziert

  1. Coinhive: Kryptominingskript in Chat-Widget entdeckt
    Coinhive
    Kryptominingskript in Chat-Widget entdeckt

    Unternehmen, die ein Chat-Widget zum Kundensupport nutzen, haben in den vergangenen Tagen heimlich bei den Kunden die Kryptowährung Monero geschürft. Betroffen waren auch der Speicherhersteller Crucial und der Sportanbieter Everlast.

  2. Monster Hunter World angespielt: Die Nahrungskettensimulation
    Monster Hunter World angespielt
    Die Nahrungskettensimulation

    Großes Monster frisst kleines Monster - meistens: In Monster Hunter World dürfen wir von der Spurensuche bis zum Endkampf die Jagd auf Fantasybestien nacherleben. Golem.de hat das teils faszinierend glaubwürdige Actionspektakel ausprobiert.

  3. Rechtsunsicherheit bei Cookies: EU warnt vor Verzögerung von ePrivacy-Verordnung
    Rechtsunsicherheit bei Cookies
    EU warnt vor Verzögerung von ePrivacy-Verordnung

    Der ambitionierte Zeitplan für das Inkrafttreten der ePrivacy-Verordnung ist wohl nicht zu halten. Das könnte für die Wirtschaft, die die Pläne kritisiert, noch zu einem Problem werden, warnen Vertreter von EU-Kommission und Europaparlament.


  1. 15:50

  2. 15:32

  3. 14:52

  4. 14:43

  5. 12:50

  6. 12:35

  7. 12:00

  8. 11:47