Sicherheitsluecke bei Strato

#0
10.09.2005, 01:20
...neu hier

Beiträge: 1
#1 Hallo!
Ich habe vor einiger zeit ein ziemlich boesartiges Sicherheitsloch bei
STRATO entdeckt. Betroffen sind alle Besitzer der WebVisitenkarten und von PowerWeb.

Das sieht so aus: es existiert in jedem Verzeichnis dieser domains eine Datei "credentials.xml" diese enthaelt neben dem verschluesselten username und password fuer das Gaestebuch auch noch wahnsinnigerweise den dazugehoerigen Schluessel!!!

Ich habe nicht lange gebraucht, um den mehr als primitiven code zu knacken. Das geht ohne ein spezielles tool, man sollte nur PHP installiert haben oder ein wenig rechnen können...

Ich moechte das Verfahren hier nicht schildern und damit publik machen, das kann jeder Besitzer einer STRATO - domain selbst ausprobieren. Viel Spass.
Es waere alles halb so wild - es kann ja "nur" das Gaestebuch von boeswilligen Besuchern manpuliert werden -, wenn nicht einige (???) unbelehrbare user die gleiche ussername/password Kombination fuer jeden geschuetzten Bereich ihrer domain verwenden wuerden. Beim "Ausprobieren"
konnte ich mir sehr oft Zugang zur website- Administration, Email-Postfaechern und sogar zum FTP-upload verschaffen.

Ich erklaere hier ausdruecklich, dass ich natuerlich niemals Daten geklaut oder manipuliert habe!
Da bei STRATO dieses Problem schon seit Jahren bekannt ist,
hat es wohl keinen Zweck, den Hoster zu informieren.
Ich finde aber, dass STRATO-Nutzer vom schlampigen Umgang mit ihren login-Daten wissen sollten.
Frage: was kann man da machen ?

beste gruesse, waran
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: