Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internetsicherheit: Paypal musste von…

ähem: /etc/passwd

  1. Thema

Neues Thema Ansicht wechseln


  1. ähem: /etc/passwd

    Autor: jkow 19.09.13 - 10:30

    Aus dem Artikel:
    "Den beiden von der Internetwache gelang es beispielsweise, einen Ordner namens passwd herunterzuholen, der zu den Systemdateien gehört.

    In dem Ordner standen keine Passwörter, aber an dieser Stelle hörten sie auf und informierten Paypal"

    Die /etc/passwd ist eine Systemdatei (kein Ordner) auf Unix/GNU Systemen. Leider ist mir nicht klar, wer diesen Artikel bei Golem veröffentlicht hat - deshalb nun also der Hinweis über das Forum. Herr Biermann hat entsprechende Hinweise offenbar schon im Artikel auf zeit.de erhalten.

  2. Re: ähem: /etc/passwd

    Autor: red creep 19.09.13 - 10:35

    >Im Quelltext von www.paypal.com [...] war ein Script eingebaut, um Dateien vom Server nachzuladen und auf der Website einzubinden. Eigentlich brauchen solche PHP-Scripts Grenzen.

    Das ist auch ungenau bis falsch. War ein PHP-Skript im HTML-Quelltext?

  3. Re: ähem: /etc/passwd

    Autor: Th3Dan 19.09.13 - 10:52

    Naja das kann man sich in dem Fall wohl denken, dass damit wohl etwas nach dem Schema <script type="text/javascript" src="script.php?file=xy.js"> gemeint ist.
    Bedenklicher als Streitigkeiten über die Ausdrucksweise finde ich aber, dass solche wirklich kritischen Lücken
    1. auf Paypal überhaupt existieren
    2. nach Bekanntgabe nicht sofort behoben werden
    Ich meine, ich kenne die Infrastruktur von Paypal nicht zwecks Zugriff auf Kundendaten. Aber unabhängig davon müssen bei so was doch bei jedem Admin der halbwegs Ahnung hat sämtliche Alarmglocken angehen.



    1 mal bearbeitet, zuletzt am 19.09.13 10:57 durch Th3Dan.

  4. Re: ähem: /etc/passwd

    Autor: Trollster 19.09.13 - 10:56

    Beispiel:
    <a href="download.php?file=NormaleDatei">NormaleDatei herunterladen</a>

    Dann kann man daraus machen:
    http://paypal.com/.../.../download.php?file=../geheimePasswörter.txt

    Weil die download.php ungefähr so aussieht:

    <?php

    $dir = './geheim/';

    if (isset($_GET['file']) && file_exists($dir . $_GET['file'])) {
    readfile($dir . $_GET['file']);
    }

    Stumpfes Dateienlesen aus Ordnern, auf denen man sonst kein Zugriff hat, hebelt das Script aus.



    1 mal bearbeitet, zuletzt am 19.09.13 10:56 durch Trollster.

  5. Re: ähem: /etc/passwd

    Autor: Th3Dan 19.09.13 - 10:59

    Ich weiß was Directory Travelsal ist und ich denke mal die anderen auch. Denen ging es wohl eher um die Bezeichnungen.

  6. Re: ähem: /etc/passwd

    Autor: Trollster 19.09.13 - 11:41

    Ich glaub es weiß nicht jeder und ich hab damit auch niemanden ansprechen wollen.
    Es kennt sich nicht jeder mit PHP aus, will es aber vllt. trotzdem wissen.

  7. Re: ähem: /etc/passwd

    Autor: zipper5004 19.09.13 - 11:52

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Beispiel:
    > NormaleDatei herunterladen
    >
    > Dann kann man daraus machen:
    > paypal.comörter.txt
    >
    > Weil die download.php ungefähr so aussieht:
    >
    > <?php
    >
    > $dir = './geheim/';
    >
    > if (isset($_GET['file']) && file_exists($dir . $_GET['file'])) {
    > readfile($dir . $_GET['file']);
    > }
    >
    > Stumpfes Dateienlesen aus Ordnern, auf denen man sonst kein Zugriff hat,
    > hebelt das Script aus.

    Was macht denn die Variable $dir? :P

    Und zum Themenersteller: Wieso gehst Du davon aus, dass die /etc/passwd gemeint ist? Möglicherweise ist ja auch ein selbst ersteller Ordner passwd gemeint?
    Dort liegt dann für jeden Benutzer eine Datei mit Dateiname=Benutzername und mit Inhalt=Passwort (in Klartext, dann geht der Vergleich schneller) :)

  8. Re: ähem: /etc/passwd

    Autor: bofhl 19.09.13 - 12:07

    jkow schrieb:
    --------------------------------------------------------------------------------
    > Aus dem Artikel:
    > "Den beiden von der Internetwache gelang es beispielsweise, einen Ordner
    > namens passwd herunterzuholen, der zu den Systemdateien gehört.
    >
    > In dem Ordner standen keine Passwörter, aber an dieser Stelle hörten sie
    > auf und informierten Paypal"
    >
    > Die /etc/passwd ist eine Systemdatei (kein Ordner) auf Unix/GNU Systemen.
    > Leider ist mir nicht klar, wer diesen Artikel bei Golem veröffentlicht hat
    > - deshalb nun also der Hinweis über das Forum. Herr Biermann hat
    > entsprechende Hinweise offenbar schon im Artikel auf zeit.de erhalten.

    Wieso gehst du davon aus, dass Paypal ein Standard-Benutzerverwaltungssystem per simpler Textdatei benutzt? Möglich ist ja auch das sie eine Verwaltung durch abbilden in einer Verzeichnisstruktur benutzen - da können neben Passwörter auch noch Dokumenten oder Links zu den Dokumenten, allerlei weiterer Dateien mit Infos zum Benutzer, Mails usw. abgelegt sein???

  9. Re: ähem: /etc/passwd

    Autor: dimorog 19.09.13 - 12:38

    Im Text steht doch nur " einen Ordner namens passwd herunterzuholen, der zu den Systemdateien gehört. "

    ... steht da was von /etc/passwd ? Habe ich nicht gesehen. Vielleicht gibt es eine .htpasswd die anders benannt ist? Diese Datei ist also nicht zwingend in /etc/passwd sondern könnte z.B. in Webserverroot .htaccess Zugänge authorisieren.
    Eine solche Datei kann man meiner Meinung nach durchaus als Systemdatei zählen lassen.

    Zugegeben in den Fällen mit .htpasswd und .htacces handelt es sich lediglich um Dateien und nicht um Ordner

  10. Re: ähem: /etc/passwd

    Autor: jkow 19.09.13 - 13:00

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Wieso gehst du davon aus, dass Paypal ein
    > Standard-Benutzerverwaltungssystem per simpler Textdatei benutzt?

    Weil ich mir die Originalmeldung im von Golem verlinkten Blog durchgelesen habe: https://www.internetwache.org/paypal-behebt-path-traversal-lucke-10-09-2013/

  11. Re: ähem: /etc/passwd

    Autor: jkow 19.09.13 - 13:02

    dimorog schrieb:
    --------------------------------------------------------------------------------
    > ... steht da was von /etc/passwd ? Habe ich nicht gesehen.

    Ja, wenn man ein wenig hinterfragt, findet man das aber durchaus sehr klar beschrieben: https://www.internetwache.org/paypal-behebt-path-traversal-lucke-10-09-2013/

    Der "Ordner" ist eine Hinzudichtung des Autors, vermutlich weil im Dateien ohne Endung fremd sind.

  12. Re: ähem: /etc/passwd

    Autor: jg (Golem.de) 19.09.13 - 14:16

    Danke für den Hinweis, die Formulierung wurde korrigiert!

  13. Re: ähem: /etc/passwd

    Autor: caso 19.09.13 - 15:53

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Es kennt sich nicht jeder mit PHP aus, will es aber vllt. trotzdem wissen.

    genau

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Paul Henke GmbH & Co. KG, Löhne
  2. BG-Phoenics GmbH, Hannover
  3. Etkon GmbH, Gräfelfing
  4. Statistisches Bundesamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. täglich neue Deals bei Alternate.de
  3. 69,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29