We could DELETE the file '/'on your web server

Rund um die Sicherheit des Systems und die Applikationen
sebbus
Posts: 125
Joined: 2003-07-07 09:37
Location: Chemnitz

We could DELETE the file '/'on your web server

Post by sebbus » 2003-07-29 12:58

Hallo,

bei einem Security-Test wurde folgendes für meinen Server festgestellt:

We could DELETE the file '/'on your web server This allows an attacker to destroy some of your pages. Solution: Disable this method. Risk Factor: Serious

Was bedeutet das genau, und muss ich das ändern bzw. wie ändere ich das?

MfG, Sebbus

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: We could DELETE the file '/'on your web server

Post by goge » 2003-07-29 13:43

Sebbus wrote:Hallo,

bei einem Security-Test ...
Welcher Test war das denn?

sebbus
Posts: 125
Joined: 2003-07-07 09:37
Location: Chemnitz

Re: We could DELETE the file '/'on your web server

Post by sebbus » 2003-07-29 13:55

Es war der Test von Securitymetrics

https://www.securitymetrics.com/portscan.adp

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: We could DELETE the file '/'on your web server

Post by standbye » 2003-07-31 12:54

ich hab zwar kein plan aber frag mal per email den typ der dir gesagt hat das dein ergebnis fertig ist :) die helfen eigetlich ganz gern.

btw -> der Test is ziemlich übel wär leuten die meinen ihr Server ist sicher mal zu empfehlen :) man merkt doch noch das ein oder andere bzw die ein oder andere version die n bug haben könnte:)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: We could DELETE the file '/'on your web server

Post by dodolin » 2003-07-31 13:14

der Test is ziemlich übel
Genau.

Und 100 pro nicht objektiv, weil die ja nur verkaufen wollen:
For a free 30-day evaluation of the SecurityMetrics Appliance
Daher spare ich mir diesen weiteren unsinnigen Test.

BTW: http://www.heise.de/newsticker/data/ola-09.07.03-005/

BTW2: Deshalb arbeite ich dran, einen gescheiten (tm) Test anzubieten, kostenlos. Dauert aber noch...

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: We could DELETE the file '/'on your web server

Post by standbye » 2003-07-31 13:16

dodolin hastu den test schomal gemacht? ich hab schon viele sec tests gesehen aber der hier hat mich mal echt beiindruckt ;) sogar meine webseite gespidert und mir gesagt ich soll meine phpinfo dinger lösche.
Ich weis das die meisten schrott sind etc aber so mal zum testen isses nich schlecht.

edit:
auserdem wird nicht dein rechner daheim getestet sondern der server auf programmversionen etc)

@ heise -> dass hat damit ehr weniger zu tun da die systeme nicht auf deinem rechner ausgeführt werden (du musst keine seite laden etc) sondern nur das machen was jeder andere von ausern auch machen kann

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: We could DELETE the file '/'on your web server

Post by chris76 » 2003-07-31 13:26

Standbye wrote:ich hab zwar kein plan aber frag mal per email den typ der dir gesagt hat das dein ergebnis fertig ist :) die helfen eigetlich ganz gern.

btw -> der Test is ziemlich übel wär leuten die meinen ihr Server ist sicher mal zu empfehlen :) man merkt doch noch das ein oder andere bzw die ein oder andere version die n bug haben könnte:)
DAU-Frage, wie soll man das vom rooti aus anstossen?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: We could DELETE the file '/'on your web server

Post by captaincrunch » 2003-07-31 13:31

Ich kann dodolin nur zustimmen : es gibt kaum bessere Security-Tests als (z.B.) Nessus. Pentesting mit bestimmten Tools setzt aber vor allem voraus, dass man etwas mit den Ausgaben der Tools anfangen kann, und nicht in absolute Panik verfällt, weil einem der Scanner sagt, dass man eine "veraltete" wasauchimmer-Version einsetzt, bei der auf dem Server das Loch aber schon vor Urzeiten gestopft worden ist.

Bei kommerziellen Scannern wirst du sowieso nichts allzu sinnvolles rausbekommen, da die (wie dodolin schon sagte) verkaufen und eben nicht "helfen" wollen, und glaub mir, ich hab da schon einige gesehen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: We could DELETE the file '/'on your web server

Post by dodolin » 2003-07-31 14:22

dodolin hastu den test schomal gemacht?
Ich wollte gerade, aber was die alles an Daten sammeln wollen geht auf keine Kuhhaut ist für einen solchen Test 100 pro nicht nötig. Nein danke.
sogar meine webseite gespidert und mir gesagt ich soll meine phpinfo dinger lösche.
Aha. Alles klar. Kannst du mir EINEN Grund sagen, was daran gefährlich sein soll, wenn man eine Seite mit phpinfo() online stellt? Geht davon ein Sicherheitsrisiko aus?

Der Test ist Quark, glaubs mir, ungesehen.
@ heise -> dass hat damit ehr weniger zu tun da die systeme nicht auf deinem rechner ausgeführt werden (du musst keine seite laden etc) sondern nur das machen was jeder andere von ausern auch machen kann
Du musst von einem anderen Heise-Artikel sprechen als dem von mir genannten.

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: We could DELETE the file '/'on your web server

Post by mutombo » 2003-07-31 15:52

die jungs haben da nichtmal nen eigenen test gestrickt.
das ist nessus, allerdings haben se bei der ausgabe einige reißerische texte eingefügt.
"We could DELETE the file '/'on your web server .."
Bekommt bestimmt jeder der nen webserver laufen hat :)

sebbus
Posts: 125
Joined: 2003-07-07 09:37
Location: Chemnitz

Re: We could DELETE the file '/'on your web server

Post by sebbus » 2003-07-31 15:55

mutombo wrote:die jungs haben da nichtmal nen eigenen test gestrickt.
"We could DELETE the file '/'on your web server .."
Bekommt bestimmt jeder der nen webserver laufen hat :)
Soll also heissen, ich muss mir keine Sorgen machen!?

Das war nämlich der einzige fehler, der im "kritischen Bereich" Bereich war..

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: We could DELETE the file '/'on your web server

Post by standbye » 2003-07-31 16:43

mutombo wrote: Bekommt bestimmt jeder der nen webserver laufen hat :)
hmm eben nicht . . .



dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser :) <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem :)

zu nessus -> ich lass nachher maln scan laufen mal sehen ob er mir mehr bringt dann bin ich ganz brav und sag nix mehr :) wenn nich flame ich hier nochn bissel rum :D
der unterschied zu den meisten andern online secuty scannern ist in dem bereich dassie genau den verkaufen :) bzw 5s cans oder so kosten 99$ und einen zum testen gibts umsonst denke also nicht das es wirklich so ein schlechter test ist.
zudem habts ihr den noch nich mal getestet also keine vorurteile ;)



wer rechtschreibfehler findet darf sie behalten!

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: We could DELETE the file '/'on your web server

Post by dodolin » 2003-07-31 17:41

dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem
Jepp. Muss wohl so unsicher sein, dass es sich sogar 1&1 leisten kann: http://faq.puretec.de/skripte/php/6.php ;)

Ok, wer nicht hören will... ich halte mich dann ab sofort raus aus dieser weiteren sinnlosen Diskussion.

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: We could DELETE the file '/'on your web server

Post by standbye » 2003-07-31 17:46

dodolin wrote:
dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem
Jepp. Muss wohl so unsicher sein, dass es sich sogar 1&1 leisten kann: http://faq.puretec.de/skripte/php/6.php ;)

Ok, wer nicht hören will... ich halte mich dann ab sofort raus aus dieser weiteren sinnlosen Diskussion.

wer nichth ören will fühlt diesmal nich ;)
btw ich hab nich gesagt das es gefärhlich is es gibt nur infos raus :)