Alex Günsche · 5. März 2007
BILDblog.de veröffentlichte vor wenigen Tagen einen Artikel über das von Bild.T-Online betriebene Forum www.meinung-live.de, wo Links und andere Referenzen zu BILDblog.de systematisch zensiert werden.
Ich habe das zum Anlass genommen, mich mal auf diesem Portal umzuschauen. Die Hass- und Lügenmaschine “BILD” kann ich sowieso nicht leiden, und wenn dann noch systematische Zensur geübt wird, dann möchte man doch mal sehen, mit wem man es zu tun hat.
Nun bin ich weder ein pöser Pube, noch würde ich mich als Sicherheitspezialisten bezeichnen — aber mir sind doch schon nach kurzem Umsehen einige grobe Sicherheitslücken ins Auge gefallen, die für Benutzer und Betreiber des Portals fatal werden könnten. Das Forensystem nennt sich Forum 101 und ist von der norddeutschen Internetklitsche worldweb für schlappe 2800 Euro zu erwerben. Dieses Forensystem ist anfällig für mehrere Sicherheitslücken, vorwiegend Cross-Site-Scripting (XSS) in Hülle und Fülle sowie SQL-Injektion.
Für die nicht Fachkundigen: Clientseitiges Cross-Site-Scripting ist eine Angriffstechnik, bei der ein Bösewicht präparierte URLs mit JavaScript (eine vom Browser ausgeführten Programmiersprache) spickt, das dann auf dem Rechner des Opfers ausgeführt wird. Auf diese Weise kann man beispielsweise den Benutzerzugang des Opfers übernehmen. Das System Forum101 lässt XSS-Attacken in vielen Eingabefeldern und den dazugehörigen URL-Parametern zu, d.h. so ziemlich jede Seite des Forums ist für XSS-Attacken anfällig.
Doch damit nicht genug: Das Forensystem ist anfällig für SQL-Injektion. SQL-Injektion wird durch schlampige Programmierung möglich, wenn Benutzereingaben ohne Überprüfung als Parameter für einen Datenbankzugriff verwendet. Dadurch kann man unter Umständen in die Datenbank des Forensystems einbrechen und beliebige Daten lesen/ändern/löschen — beispielsweise Benutzernamen und -passwörter. (Kleiner Tipp an die Forum101-Entwickler: Man sollte LIMIT-Deklarationen nicht ungeprüft aus der URL entnehmen.)
Im Übrigen werden Angriffe gegen Benutzer noch dadurch vereinfacht, dass das Passwort anscheinend im Klartext in der Datenbank liegt, statt es mit einem Hash zu schützen. (Zu sehen ist das daran, dass man das ursprüngliche Passwort bei der “Passwort-Vergessen”-Funktion bekommt, und nicht ein neues.) Somit muss ein Angreifer die Passwörter für die Anmeldung mit einem fremden Zugang noch nicht mal ändern, d.h. ein Zugriff bliebe sogar weitestgehend unbemerkt.
Mit solchen gravierenden Schwachstellen wird das System Forum101 schnell zum “Room 101″ für alle Beteiligten. Um es nochmal zu verdeutlichen: Diese Erkenntnisse sind das Ergebnis einer müßigen Kaffeepause. Nicht auszudenken, was man bei genauerer Untersuchung dieses Gefrickels im Wert einer kompletten Büroausstattung noch so alles finden würde. Bleibt die Frage, warum sich Bild.T-Online für dieses Paket entschieden hat — wo es doch eine ältere Version von phpBB auch getan hätte. Vermutlich ist das hervorstechende Merkmal (oder “Unique Selling Point”, wie der PRler sagt) die ausgeklügelte Zensurfunktion.
Hinweis: Das unbefugte Ausspähen und Manipulieren von EDV-Daten ist — wie wir alle wissen — in Deutschland strafbar. Bei der oben dargestellten Recherche sind keine Daten unbefugt ausgespäht oder manipuliert worden. Dieser Artikel ist nicht als Aufruf zu Straftaten zu verstehen, sondern stellt einzig und allein eine kritische Betrachtung des Forensystems “Forum101″ dar.
6
Wissenswertes, Meinung
Alex Günsche · 24. Februar 2007
Es gibt eine neue Version des AdvancedSearch-Plugins. Es wurden einige grobe Probleme mit der 2.1-Serie von WordPress behoben:
- Suchen über mehrere Seiten funktionieren nun mit WP 2.1.x,
- Ebenso funktioniert die Suche auf statischen WordPress-Seiten wieder,
- Ein Problem mit Suchworthervorhebung und dem o42_cleanumlauts-Plugin wurde behoben,
Vielen Dank an alle, die Hinweise zur Fehlersuche und -behebung geliefert haben; insbesondere Ryan und Aza.
Weiterhin gibt es dank Martin Štěpán eine tschechische Übersetzung des Plugins.
Das Plugin ist wie immer auf seiner Seite verfügbar. Wie immer wünschen wir viel Spaß damit! wir würden uns auch über Übersetzungen sowie Fehlerberichte und Verbesserungsvorschläge freuen.
0
Software
Alex Günsche · 23. Januar 2007
Heute nacht ist das lang ersehnte WordPress 2.1 veröffentlicht worden. Das Upgrade-Modul von WP-Manage hatte leider einige Probleme beim Upgrade 2.1. Daher gibt es nun eine neue Version 0.1-alpha2, die die Fehler behebt. Falls schon mit der alten Version die Aktualisierung versucht wurde, kann man einfach die neue Version nehmen (das Überspielen der upgrade.php reicht) und es nochmal machen. Wir bitten um Entschuldigung für eventuelle Unannehmlichkeiten.
5
Software
Alex Günsche · 20. Januar 2007
WP-Manage ist eine WordPress-Erweiterung (kein Plugin), die auf Knopfdruck Backups und Aktualisierungen für WordPress durchführt.
Die Backup-Routine erstellt einen MySQL-Dump der WordPress-Tabellen in der Datenbank, erstellt eine Liste alle WordPress-Dateien und packt alles zusammen in ein Zip-Archiv, das man dann bequem herunterladen kann. Das Upgrade lädt die neuste WordPress-Version runter, entpackt sie, löscht die alten WP-Dateien und installiert die neuen. Anschließend wird das Upgrade-Script ausgeführt. Für all das werden keine besonderen PHP-Erweiterungen etc. benötigt, sondern WP-Manage bringt alle nötigen Werkzeuge selbst mit.
Das Backup und das Upgrade arbeiten unabhängig voneinander. Während das Backup eine Universallösung praktisch für jedermann ist, wird die Upgrade-Funktion nicht für jeden etwas sein (da sie die “Kontrolle” über die WordPress-Scripte übernimmt). Aber wenn man etwa WP für einen Kunden oder Bekannten installiert hat, der keine Ahnung von FTP, PHP und MySQL hat, dann ist das sicherlich eine ideale Lösung.
Dokumentation, Screenshots und Downloads gibt es auf der WP-Manage-Seite (leider nur auf englisch).
Viel Spaß beim Ausprobieren! Feedback ist ausdrücklich erwünscht.
Nachtrag: Es gab einen unglücklichen Fehler in der Datei upgrade.php: Die neuste WordPress-Version wurde nicht von wordpress.org, sondern von zirona.com (diesem Server) heruntergeladen. Der Grund dafür ist, dass ich während der Entwicklung den WordPress-Server nicht bombardieren wollte und daher eine temporäre Kopie auf meinem eigenen Server abgelegt hatte. Leider hatte ich bei der Veröffentlichung vergessen, die korrekte URL einzutragen, daher versuchen die bis heute nachmittag heruntergeladenen Versionen von WP-Manage WordPress vom Zirona-Server zu laden. Der Fehler wurde nun behoben und das Paket neu hochgeladen. Man kann entweder die korrigierte Version herunterladen oder in Zeile 290 der upgrade.php http://www.zirona.com/download/ in http://wordpress.org/ ändern. Ich bitte um Entschuldigung für die Unannehmlichkeiten und danke Fabrice Pascal für den Hinweis.
0
Software
Alex Günsche · 16. Januar 2007
WordPress 2.0.7 ist soeben erschienen und behebt hauptsächlich eine schwerwiegende Sicherheitslücke. Dabei war es möglich, über die Datei wp-trackback.php die WordPress-Datenbank auszulesen. Wenngleich die tatsächliche Gefahr von einigen Voraussetzungen abhängt und somit nicht alle WordPress-Installationen betrifft, so sollte man doch zügig aktualisieren.
Desweiteren gibt es eine neue Version der Erweiterten Suche. Es wurde ein von cj gemeldeter Fehler bei der Verarbeitung von Kategorien auf Blogs mit nur einem Autor behoben. Weiterhin gibt es jetzt dank Andrea Barbieri eine italienische Übersetzung des Plugins.
Das Plugin ist wie immer auf seiner Seite verfügbar. Wie immer wünschen wir viel Spaß damit! wir würden uns auch über Übersetzungen sowie Fehlerberichte und Verbesserungsvorschläge freuen.
Nachtrag: Es gab noch einen kleinen Fehler, der bei Blogs auftrat, die mehrere Benutzer haben, von denen aber nur einer tatsächlich Beiträge geschrieben hatte. Das Problem wurde beseitigt und die Version 0.5 aktualisiert. Danke an solemnchaos für den Hinweis.
2
Software
Alex Günsche · 15. Januar 2007
Es gibt ein neues WordPress-Plugin aus dem Hause Zirona. Es ermöglicht, Kommentare von einem Beitrag (einschließlich Seiten) zu einem anderen zu verschieben. Es ist kein ausgefallenes Plugin, es ist eben ein nützliches Werkzeug. Man wird es nicht oft brauchen, aber wenn es doch mal sein muss, dann ist man garantiert glücklich, dass es das gibt.
Das Plugin hat ein eigenes Zuhause und freut sich auf Besuch und Feedback!
Nachtrag: Es gab ein kleines Problem mit einer festcodierten URL, die Ingo freundlicherweise gemeldet hat. Der Fehler wurde behoben und das Plugin neu hochgeladen.
0
Software
Alex Günsche · 12. Januar 2007
Das ServerSite-Projekt, das einen Webserver mit vielen weiteren Funktionen auf einer LiveCD realisiert hat, wird eingestellt.
Der wichtigste Grund dafür ist, dass ich momentan einfach keine Zeit habe, das Projekt in angemessener Weise fortzuführen. Ansprüche von ServerSite waren, eine stabile und auf vielen Rechnern lauffähige LiveCD mit sehr aktuellen Paketen auf Basis von Gentoo Linux bereitzustellen sowie besondere Funktionalitäten zu bieten (wie etwa das Laden von Einstellungen und Content von einem USB-Stick) – und diese Anspräche kann man mit einem zu knappen Zeitbudget eben nicht befriedigen.
Wer Interesse an den Build-Scripten oder sonstigen Erzeugnissen der ServerSite-Entwicklung interessiert ist, kann mich gerne kontaktieren.
0
Zirona-News, Software
Alex Günsche · 10. Januar 2007
Es ist seit heute ein Exploit für WordPress verfügbar, der den Admin-Benutzer sowie das gehashte Admin-Passwort verrät. Betroffen sind WP-Versionen unter 2.0.6 auf Servern mit register_globals=On. (Das Exploit-Skript suggeriert, dass auch die Version 2.0.6 betroffen ist, doch das konnte bisher nicht reproduziert werden.) Es wird dringstens eine Aktualisierung auf die neuste Version 2.0.6 empfohlen.
Zum Hintergrund: Wie funktioniert der Exploit?
In der PHP-Datei wp-trackback.php wird die externe Dateneingabe nicht korrekt gefiltert, so das eine SQL-Injektion möglich ist. Was heißt das?
Wenn ein Zugriff auf die Datenbank stattfindet, so werden alle Eingaben durch Anführungszeichen abgegrenzt. Enthält die Anfrage ein Anführungszeichen zuviel oder zuwenig, so wird der weitere Text als SQL-Befehl interpretiert. Bei der SQL-Injektion wird das gezielt ausgenutzt, indem Anführungszeichen von außen eingegeben werden. Wenn diese vor dem Datenbankzugriff von der jeweiligen Anwendung nicht ausgefiltert oder maskiert werden, so kann man von außen SQL-Befehle in die Datenbank einfügen.
Der der derzeit kursierende Exploit ist relativ harmlos: Er liest nur die Benutzertabelle aus und verrät das gehashte Admin-Passwort. Damit beweist der Autor, dass (und wie) die Lücke ausnutzbar ist, ohne direkten Schaden anzurichten. Doch natürlich lässt sich der Exploit mit ein bissel Knoffhoff und wenig Aufwand so umstricken, dass er in die Datenbank schreibt, nämlich etwa einen neuen Benutzer mit Adminrechten.
0
Wissenswertes, Software
Alex Günsche · 24. Dezember 2006
Eine neue Version der Erweiterten Suche ist verfügbar. Wichtige Änderungen:
- Die Suche kann auf einen bestimmten Zeitraum beschränkt werden,
- Verschiedene Optimierungen der Hervorhebungsfunktion, diese sollte nun so gut wie perfekt funktionieren,
- Kompatibilität mit dem Polyglot-Plugin (dank Christian),
- Reparaturen und Anpassungen für die Kompatibilität mit WordPress 2.1 – jawoll, 2.1 kann kommen!
Das Plugin ist wie immer auf seiner Seite verfügbar. Wie immer wünschen wir viel Spaß damit! wir würden uns auch über Übersetzungen sowie Fehlerberichte und Verbesserungsvorschläge freuen.
0
Software
Alex Günsche · 27. November 2006
Wir freuen uns, die Veröffentlichung eines neuen WordPress-Plugins bekanntgeben zu dürfen. Das Plugin heißt Subrosa und ermöglicht die Verschlüsslung von vertraulichen Kontaktformular-Nachrichten. Das geschieht über asymetrische Verschlüsslung, welche recht anschaulich in einem Wikipedia-Artikel beschrieben ist.
Das Plugin worde mit dem älteren “WP Contact Form” von Ryan Duff sowie dem “Contact Form ][” von Chip Cuccio getestet. Es sollte aber auch mit anderen WordPress-Kontaktformularen funktionieren.
Weitere Informationen zum Plugin und zu seiner Verwendung gibt es auf der Beschreibungsseite des Plugins (englisch). Dort kann man es auch herunterladen.
Auf unserer Kontakt-Seite ist das Plugin in Aktion zu sehen.
Dieses Plugin basiert auf der Arbeit verschiedener anderer Autoren. Besonders möchte ich Herbert Hanewinkel danken, der nicht nur zum größten Teil die JavaScript-Implementierung der kryptografischen Algorithmen programmiert hat, sondern mir auch bei der Entwicklung des Plugins mit Rat und Tat zur Seite stand. Außerdem ist die Bedienoberfläche des Plugins von seiner aufschlussreichen Online-Demo abgeleitet.
10
Software
