Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Certificate Transparency…

Joomla Lösung nicht sicher?

  1. Thema

Neues Thema Ansicht wechseln


  1. Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 08:48

    Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen, ziemlich klein sein dürfte. Und selbst wenn: ein Fake-Paket zu buchen dürfte schwer automatisierbar sein, denn es ist das täglich Brot der Hoster sowas zu erkennen. Ein bezahltes Paket wiederum wird sich dafür keiner buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen und 3. hat man ja dann schon einen nutzbaren Webspace.

    Die Einschätzung des Autors teile ich deswegen nicht, das Szenario ist rein hypothetisch.

    Cheers David,
    Joomla Security Team

    P.S.: fun-fact ist übrigens, dass der Autor die Lösung so vorgeschlagen hat...



    1 mal bearbeitet, zuletzt am 29.07.17 08:54 durch JustSnipy.

  2. Re: Joomla Lösung nicht sicher?

    Autor: xUser 29.07.17 - 18:41

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Das vom Autor beschriebene Szenario dürfte in der Praxis so unpraktikabel
    > sein, das es sich hierbei um ein theoretisches Szenario handelt. Selbst
    > mittelgroße Hoster betreiben hunderte Server, weshalb die Chance für einen
    > Angreifer, hier zufällig auf der gleichen Maschine ein Paket zu bekommen,
    > ziemlich klein sein dürfte.

    Kannst du ausführen, auf was genau im Artikel du antwortest? Meinem Verständnis nach geht es darum, dass durch den Cert Log die eine Liste neuer Domainnamen ermittelbar ist. Dies Domainnamen kann man dann per Script für die nächsten paar Tage regelmäßig per Script auf aktive ungesperrte Installer prüfen. Dann kann man die Installation automatisiert durchführen und mittels Plugin weiteren Code nachladen. Wenn man dann den Installer wieder freigibt (aka die Installationsschritte rückgängig macht), dann fällt dies unter Umständen gar nicht auf. Das Ganze dauert keine fünf Minuten und schon ist die neue Webseite schon vor der Inbetriebnahme gehackt.

  3. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 29.07.17 - 19:54

    xUser schrieb:
    --------------------------------------------------------------------------------
    > Kannst du ausführen, auf was genau im Artikel du antwortest?

    Ich beziehe mich darauf, dass der Autor schreibt dass Joomla einen entsprechenden Fix im Installer integriert hat, dieser Fix aber ebenfalls unsicher sei. Diese "Unsicherheit" ist in meinen Augen nur theoretischer Natur, weshalb ich daran zweifle dass diese Formulierung so gerechtfertigt ist.

  4. Re: Joomla Lösung nicht sicher?

    Autor: Anonymer Nutzer 29.07.17 - 23:55

    unsicherheiten sind immer solange theoretischer natur, bis sie praktisch ausgenützt werden.

  5. Re: Joomla Lösung nicht sicher?

    Autor: dura 30.07.17 - 13:37

    JustSnipy schrieb:
    --------------------------------------------------------------------------------
    > Ein bezahltes Paket wiederum wird sich dafür keiner
    > buchen - denn das wird 1. teuer, lässt sich 2. leichter zurück verfolgen
    > und 3. hat man ja dann schon einen nutzbaren Webspace.

    Das sehe ich anders. Erstmal kommt es darauf an, was ich genau mit dem Angriff bezwecke, einfach nur Masse für Spam-Versand/DDoS, etc.? Dann sind diese Ziele vermutlich wirklich erstmal nicht interessant.
    Wenn ich aber gezielter angreifen will und halt gerne im Blog großer Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen Hoster sind, dann geht das vielleicht sogar relativ einfach mit der Datenbank.
    Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten einträgt, dann wird das auch 1-2 Tage funktionieren.

    Und wenn das Botnetz irgendwann groß genug ist, hat man alleine dadurch ja schon Zugriff auf extrem viele Datenbanken.

  6. Re: Joomla Lösung nicht sicher?

    Autor: JustSnipy 30.07.17 - 16:41

    dura schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich aber gezielter angreifen will und halt gerne im Blog großer
    > Unternehmen Zugriff haben will, um z.B. so Informationen rauszutragen, ein
    > CEO-Fraud von einer wirklich internen Adresse durchzuführen, etc. Dann kann
    > sich das schon lohnen. Und wenn diese Unternehmen dann bei keinem riesigen
    > Hoster sind, dann geht das vielleicht sogar relativ einfach mit der
    > Datenbank.

    Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel entweder intern oder auf dedizierten System gehostet, sodass es keine Möglichkeit gibt, auf die selbe Maschine zu kommen - bei kleineren Unternehmen widerrum wird aus Kostengründen eher zum Massenhoster gegriffen, wo das Unterfangen ungleich schwieriger wird.

    Davon abgesehen: interessant für gezielte Angriffe dürften hier Unternehmen sein, die nicht unbedingt frisch gegründet sind - und die haben dann in der Regel auch schon seit einiger Zeit ihr Hosting-Paket und liegen somit nicht auf einem "frischen" Server, auf dem du bei einer neuen Buchung landen würdest.

    > Und bezahlen, nunja, wenn man SEPA auswählt und irgendwelche Quatschdaten
    > einträgt, dann wird das auch 1-2 Tage funktionieren.

    Da unterschätzt du die Hoster etwas denke ich. Die Betrugsversuche sind hier so massiv und alltäglich, das hier im Hintergrund einige Plausibilitätsprüfungen laufen, bevor dein Paket freigeschaltet wird.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Radeberger Gruppe KG, Frankfurt
  2. WSW Wuppertaler Stadtwerke GmbH, Wuppertal
  3. AGF Videoforschung GmbH, Frankfurt am Main
  4. Fleischprüfring Bayern e.V., Vierkirchen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 37,49€
  2. 2,99€
  3. (-55%) 5,40€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Games-Kunstwerke für die Hosentasche
Mobile-Games-Auslese
Games-Kunstwerke für die Hosentasche

Cultist Simulator, Photographs, Dungeon Warfare 2 und mehr: Diesen Monat lockt eine besonders hochkarätige Auswahl an kniffligen, gruseligen und komplexen Games an die mobilen Spielgeräte.
Von Rainer Sigl

  1. Spielebranche Auch buntes Spieleblut ist in China künftig verboten
  2. Remake Agent XIII kämpft wieder um seine Identität
  3. Workers & Resources im Test Vorwärts immer, rückwärts nimmer

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
    Katamaran Energy Observer
    Kaffee zu kochen heißt, zwei Minuten später anzukommen

    Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
    Ein Bericht von Werner Pluta

    1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
    2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
    3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    1. Customer First: SAP-Anwender sind in der Landschaft gefangen
      Customer First
      SAP-Anwender sind in der Landschaft gefangen

      SAP-Kunden sind treu, weil sie die eingeführte SAP-Landschaft nicht so einfach ablösen können. Doch sie bleiben auch deswegen, weil die Geschäftsprozesse gut unterstützt werden.

    2. Konsolenleak: Microsoft stellt angeblich nur Specs der nächsten Xbox vor
      Konsolenleak
      Microsoft stellt angeblich nur Specs der nächsten Xbox vor

      Die Veröffentlichungstermine von Spielen wie Cyberpunk 2077 und Gears 5, dazu die wichtigsten Spezifikationen der nächsten Xbox möchte Microsoft laut einem Leak während der Pressekonferenz auf der E3 vorstellen. Gerüchte gibt es auch über die Streamingpläne von Nintendo.

    3. FCC: Regulierer für Übernahme von Sprint durch T-Mobile US
      FCC
      Regulierer für Übernahme von Sprint durch T-Mobile US

      Nach offenbar weitgehenden Zugeständnissen beim Netzausbau auf dem Land und bei 5G hat der Regulierer in den USA dem Kauf von Sprint zugestimmt. Für die Telekom steigen damit die Kosten.


    1. 18:21

    2. 18:06

    3. 16:27

    4. 16:14

    5. 15:59

    6. 15:15

    7. 15:00

    8. 14:38