Cybersecurity

 

Cybersecurity

Letztens wurde leider meine Website mit meinen Blogposts gehackt. Dabei stellte ich mir die Frage, wie das passieren konnte und wie ich sowas in Zukunft vermeide, oder es den Hackern zumindest schwieriger zu machen. Mein Webhosting-Anbieter konnte die Seite glücklicherweise wiederherstellen. Auf der Übersicht meiner Wordpress-Seite sah ich die folgenden Sicherheitshinweise:
  • Veraltete PHP Version
  • Veraltete Wordpress Version

PHP 7.4

Vor dem Angriff auf meine Website verwendete ich noch die Version 7.4 von PHP. Diese wird nicht mehr unterstützt, was sie anfällig für Sicherheitslücken macht. Viele der Sicherheitslücken sind bereits bekannt.

XML External Entity (XXE) Injection

Eine XXE Injection ist ein Angriff, bei der bösartige XML-Daten in eine Anwedung eingeschleust werden und versucht wird, vertrauliche Informationen auszulesen oder Angriffe durchzuführen. Dies kann passieren, wenn die Anwendung unsicher konfiguriert ist und externe Entitäten in XML-Dokumenten ohne ausreichende Validierung erlaubt sind. 

Angenommen, eine Anwendung akzeptiert XML-Daten von Benutzern. Ein Angreifer sendet die folgende XML-Anfrage an die Anwendung:

<!DOCTYPE foo [
  <!ELEMENT foo ANY>
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>&xxe;</foo>

In dieser XML-Anfrage definiert der Angreifer ein externes Entity namens "xxe", welches auf die Datei "/etc/passwd" zugreift. Somit erhält er die Informationen dieser Datei zurück und hat sensible Daten, auf welche er eigentlich keinen Zugriff haben sollte.

Out-of-Bounds

Eine Out-of-Bounds Vulnerability tritt auf, wenn eine Anwendung versucht, auf einen Speicherbereich zuzugreifen, welcher ausserhalb des reservierten Bereiches liegt. Dies kann zu unerwartetem Verhalten führen und Angreifern die Möglichkeit bieten, die Anwendung zu manipulieren oder sogar Code auszuführen. 

Die Ausnutzung einer Out-of-Bounds Vulnerability erfordert in der Regel jedoch ein tiefes Verständnis der Anwendung und ist nicht einfach durchzuführen.

Out-of-Bounds

Eine Integer Overflow or Wraparound Vulnerability tritt auf, wenn ein Integer einen Wert überschreitet, der ausserhalb des zulässigen Bereiches liegt. Dies kann zu unerwarteten Verhalten führen. Angreifer können dies ausnutzen, um Sicherheitsmechanismen zu umgehen.

In diesem Beispiel hat eine Anwendung einen 32-Bit-Integer, um die Anzahl der Produkte in einem Warenkorb zu speichern. Die Anzahl wird daraufhin mit dem Preis multipliziert. 

units = 2000000000 # 2 Milliarden Produkte
price_per_unit = 3 # 4 Franken pro Produkt

total_price = units * price_per_unit

Da "total_price" den Maximalwert überschreitet, ist das Ergebnis ein negativer Wert. Der Angreifer könnte nun die Produkte zu einem negativen Preis kaufen.

Server Side Request Forgery (SSRF)

Auf der Wordpress Version, welche ich verwendete, wurde von Simon Scannell und Thomas Chauchefoin eine Sicherheitslücke entdeckt, welche es Angreifern ermöglicht, sensible Daten und Services auf dem System auszulesen. Es handelt sich dabei um eine SSRF-Sicherheitslücke. Dieses Problem wurde jedoch noch nicht gelöst und es gibt noch keine neue Wordpress Version. (https://patchstack.com/database/vulnerability/wordpress/wordpress-6-1-1-unauth-blind-ssrf-vulnerability?_a_id=110)

Server Side Request Forgery (SSRF) ist eine Sicherheitslücke, bei der ein Angreifer Anfragen von einem Server auslösen kann, auf die er normalerweise keinen Zugriff hat. Dies passiert oft, indem der Angreifer Anfragen über die Schwachstellen einer Anwendung an den Server sendet, der dann Daten an den Angreifer zurückgibt. Dies kann dazu führen, dass vertrauliche Informationen offengelegt werden. SSRF-Angriffe sind gefährlich, da sie die gesamte Sicherheitsinfrastruktur eines Systems bedrohen.

Beispiel

Angenommen, eine Webanwendung akzeptiert Benutzereingaben für eine URL, die von einem internen Dienst abgerufen werden soll, um beispielsweise Metadaten einer Webseite anzuzeigen. Der Benutzer gibt die folgende URL ein:
http://internal-service/api/getdata?url=http://malicious-site.com/secret
Die Anwendung verwendet den Input, um eine HTTP-Anfrage an die angegebene URL zu senden und die Daten auf der Webseite malicious-site.com/secret abzurufen. Allerdings hat der Angreifer die URL so manipuliert, dass sie auf einen internen Dienst zeigt, den er auskundschaften möchte:
http://internal-service/api/getdata?url=http://internal-service/admin/credentials
In diesem Fall würde die Anwendung die Anfrage an den internen Dienst senden und die vertraulichen Anmeldeinformationen zurückgeben. Der Angreifer hat erfolgreich eine Anfrage manipuliert, um auf interne Ressourcen zuzugreifen, auf die er normalerweise keinen Zugriff hätte.

Schlussfolgerung

Ich kann mir Vorstellen, dass die veraltete PHP Version ein Grund für den Angriff auf meine Website war. Die PHP Version habe ich umgehend aktualisiert, um die Sicherheitslücken zu entfernen.

Es könnte auch sein, dass auf meiner Website ein SSRF-Angriff durchgeführt wurde, um meine Anmeldedaten zu erhalten. Das ist jedoch nur eine Annahme und ich kann nicht sicherstellen, ob das wirklich passiert ist. Ich werde die neue Version herunterladen, sobald sie verfügbar ist. 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

QuestPDF

QuestPDF QuestPDF ist ein hilfreiches Tool, um in .NET Anwendungen PDF Dateien zu erstellen. Durch die Fluent API ist die Erstellung eines PDF sehr einfach. Zusätzlich bietet QuestPDF eine Preview des PDF an, was die Bibliothek von anderen PDF Bibliotheken abhebt und dem Entwickler viel Zeit spart. Lizenz QuestPDF ist eine open-source Bibliothek. Sie verwendet die eigene QuestPDF Lizenz und kann gratis unter der MIT Lizenz verwendet werden. Firmen, welche mehr als eine Million USD Umsatz im Jahr machen, müssen die Professional oder Enterprise Lizenz kaufen. Wie verwende ich QuestPDF? Um mit dem Erstellen von PDFs loszulegen, muss zuerst das Nuget Package installiert werden. Dafür kann man die Package Manager Console oder den Nuget Package Manager verwenden: PDF in Datei speichern Um ein PDF in einer Datei abzuspeichern, braucht man einen FileStream. Diesen kann man bei der Methode "GeneratePdf" von QuestPDF als Argument mitgeben, wodurch automatisch in die Datei geschriebe...
Read more »

ASP.NET Core Identity

ASP.NET Core Identity ASP.NET Core Identity ist ein Authentifizierungs- und Autorisierungs-Framework, das in ASP.NET Core-Anwendungen integriert ist. Es bietet eine robuste Lösung zur Verwaltung von Benutzern, Passwörtern, Rollen, Claims und anderen sicherheitsrelevanten Funktionen. Diese API erleichtert Entwicklern die Implementierung von sicheren Anmeldesystemen und bietet dabei eine hohe Flexibilität und Anpassbarkeit.  In diesem Blogpost werden wir uns anschauen, wie man Identity konfiguriert und verwendet. Installation Das Nuget Package kann mit dem folgenden Befehl installiert werden: Konfiguration Die Authentifizierung kann nun in der Program-Klasse konfiguriert werden. Dafür wird die Methode "AddIdentity()" verwendet.  Mit der Methode "AddEntityFrameworkStores()" wird der DbContext angegeben, worin sich das Model für die Benutzer befindet. Dafür wird typischerweise die Klasse "IdentityUser" des Frameworks verwendet. Man kann allerdings auch...
Read more »

Custom JsonConverter mit System.Text.Json

Custom JsonConverter mit System.Text.Json Die Bibliothek System.Text.Json bietet Funktionen, um Daten in und aus JSON zu konvertieren. Seit .NET Core 3.1 ist die Bibliothek Teil des .NET Frameworks und muss nicht mehr manuell installiert werden.  In manchen Fällen ist es allerdings erforderlich, das Verhalten der Serialisierung oder Deserialisierung anzupassen und eigene Regeln zu definieren. Dafür bietet System.Text.Json die Möglichkeit, benutzerdefinierte JsonConverter zu erstellen. Beispiel Du hast die Klassen Person und Address . Ein Person-Objekt enthält ein Address-Objekt mit der Adresse der Person: Nun möchtest du die Klasse Person ins JSON-Format umwandeln. Allerdings sollte die Struktur dabei abgeflacht sein, damit alle Eigenschaften der Adresse direkt dem Person-Objekt untergeordnet sind. JsonConverter Hier kommt der benutzerdefinierte JsonConverter ins Spiel. Dafür wird eine neue Klasse erstellt, welche vom Typ JsonConverter erbt. Diese Klasse muss die Methoden...
Read more »