Sites via Google erg kwetsbaar

Rick (rickmans)

ThizahT had ons via de newssubmit het volgende te melden:

Veel sites zetten hun zogenaamde "content management systeem" zomaar vrij op het internet bereikbaar voor ieder persoon zonder dat ze het zelf in de gaten hebben. Het is eigenlijk gewoon een kwestie van goed zoeken.

Een "content management systeem", afgekort CMS, is een systeem waarmee je de content online kunt bewerken. Met een beetje handigheid kun je ook vaak bij de gebruikersnamen en wachtwoorden.

Ook een tooltje wat veel gebruikt wordt is phpMyAdmin. Dit is een tool voor je mySQL database. Ook deze is bij veel sites 'gewoon' bereikbaar via google zonder dat er om een wachtwoord of iets dergelijks gevraagd wordt.

Een paar leuke en interessante Google searches brengt ons bij het volgende:

Search: "main.php" "Welcome to phpMyAdmin"
* The University of North Carolina, hiervan zien we de complete database inclusief een aantal usernames en wachtwoorden. Ook de nieuwsberichten zijn allemaal wijzigbaar.

Search: "/admin/admin.asp" of Search: "/admin/admin.php" brengt ons bij honderden Backsite tooltjes waarvan enkele toch echt bereikbaar zijn zonder wachtwoord.

Veel sites zetten hun Access Database ook in de WWWroot. Deze is na het zoeken via Google makkelijk verkrijgbaar en binnen een mum van tijd staat hij op je eigen harddisk om verder na te pluizen.
---
hoewel het ontzettend leuk is om de gevonden sites hier neer te zetten is er besloten om deze niet neer te zetten wij verzoeken jullie ook om dit soort links niet op te nemen in jullie reacties, alvast bedankt!

donderdag 24 januari 2002, 08:28 uur #1

TheFruitNerd

Dit bericht is al 2 maanden geleden bekend geworden.
Beetje oud nieuws dus.

http://www.tweakers.net/nieuws/19380
[ Dit bericht is gewijzigd door TheFruitNerd ]

donderdag 24 januari 2002, 08:35 uur #2

Juup©

Poep

quote:
Dit bericht is al 2 maanden geleden bekend geworden.
Beetje oud nieuws dus.

Echte nerd dus.

Rare kwast 🖌
Rustgevende muziek 🤩

donderdag 24 januari 2002, 08:37 uur #4

rickmans

Hasselmans

quote:
Dit bericht is al 2 maanden geleden bekend geworden.
Beetje oud nieuws dus.

http://www.tweakers.net/nieuws/19380

niet precies hetzelfde maar wel ongeveer in dezelfde lijn foto

Curiosity Killed The Cat

donderdag 24 januari 2002, 08:45 uur #5

BOOTZ

tweaker

als je een content-manager systeem gebruikt, zorg er dan iig voor dat er nergens op je site een link naartoe staat. dan kan google het ook niet vinden. en een .htpasswd doet de rest foto

Ik ben niet gek, ik ben een vliegtuig. En als je het niet gelooft stap je maar uit :P

donderdag 24 januari 2002, 08:46 uur #6

Just_Johnny

quote:
Echte nerd dus.

Zeg dan gewoon nix ofzo foto
[ Dit bericht is gewijzigd door Just_Johnny ]

donderdag 24 januari 2002, 08:54 uur #7

alien8ed

ignorance is bliss

Deze hacktaktiek staat ook bekend als alternate browsing ofwel alternatief surfen
Je vult gewoon een afwijkende URL in in de hoop op de admin sectie terecht te komen.
Al heeeel oud, maar met php nieuw leven ingeblazen foto

hak hout, haal water
Transhumanist, Piraat

donderdag 24 januari 2002, 08:56 uur #8

Plonz

De slingerpad?

quote:
als je een content-manager systeem gebruikt, zorg er dan iig voor dat er nergens op je site een link naartoe staat. dan kan google het ook niet vinden. en een .htpasswd doet de rest

[nerdmode]Fout! Er zijn honderen manieren waarop deze sites toch bekend worden: via publieke log files van je proxy server, via http-referers op statistiekpaginas etc etc[/nerdmode]

Gebakken ei met peperkoek!

donderdag 24 januari 2002, 08:58 uur #9

OpiDopi

^_^

Ja en het wordt steeds erger foto (lijkt langzamerhand een beetje op een leerdamse gatenkaas die internet) foto
[ Dit bericht is gewijzigd door OpiDopi ]

access denied!

donderdag 24 januari 2002, 09:18 uur #10

sop

ahum

Ik zelf doe wat aan ASP proggen en het is mij opgevallen dat als je de naam van de database weet te achterhalen, je die in het geheel kan downloaden (in sommige gevallen).
Vaak zijn dat, zeker bij de wat kleinere sites, access databases en die zijn zeeeeeer eenvoudig te kraken (heb een tooltje dat opent de database als ware er geen wachtwoord om vervolgens vrolijk het wachtwoord en gebruikersnaam te laten zien). In die database staan meestal de gebruikers en de wachtwoorden.
Ook handig. Kun je ook uitzetten namelijk dat up en downloaden...

donderdag 24 januari 2002, 09:37 uur #11

eymey

koning één-oog

Het komt voor het grootste deel ook door laksheid van de beheerders van de site zelf.

De database waar je site op gebaseerd wordt gewoon ergens in de directory tree onder je webserver gooien is zowieso al het domste wat je kunt doen, bijvoorbeeld foto.
En database beheer interfaces zoals PHP MyAdmin hoor je niet zomaar ff out of the box neer te pleuren, die hoor je ook te beveiligen. Zowel je webserver als PhpMyAdmin zelf heeft daar voorzieningen voor.

You may be right, I may be crazy. But it just might be a lunatic you're looking for... -- Billy Joel

donderdag 24 januari 2002, 10:06 uur #12

quintus

Tips zijn inderdaad:
- je database altijd buiten je www directory bewaren, of in een hidden directory.
- altijd een robots.txt in je webroot zetten zodat google niet in je CMS directories gaat zitten graven
- altijd passwords met (session) cookies gebruiken
- vaak backuppen! foto

donderdag 24 januari 2002, 10:13 uur #13

ZonderZout

De mens leeft vaak zat!

Hmm, een beetje onhandig... van een CMS moet je natuurlijk niet alleen de \'log hier in\' pagina beveiligen, maar het hele platform.

Buiten het beveiligen van de pagina\'s kun je ook de databases voorzien van een wachtwoord zodat, als deze al gedownload worden, niemand er wat mee kan zonder wachtwoorden.

Session cookies is naar mijn mening ook de beste oplossing.

Als iedereen aan zichzelf denkt, wordt er aan iedereen gedacht

Administrator

donderdag 24 januari 2002, 11:06 uur #14

Breuls

Bad Wolf

Je bent als beheerder ook wel niet al te slim als je gewoon (onbeveiligde) URLs als /admin gebruikt om je controlebestanden te "verstoppen".
Ik heb zelf een tijdje een site gehad die op een webserver draaide waarvan ikzelf niet precies wist hoe ik mappen moest afschermen, en reken maar dat de phpMyAdmin ergens 5 mappen (met onlogische namen) diep weggestopt zat. foto

Ik heb \'t trouwens later zo gedaan dat de phpMyAdmin alleen op m\'n eigen PC stond, zodat echt niemand er meer bij kon. foto

-edit-
woordje toegevoegd
[ Dit bericht is gewijzigd door Breuls ]

I am a leaf on the wind.
Watch how I soar.

donderdag 24 januari 2002, 11:08 uur #15

prittje.nl

tra la la

maar bij google kan je wel de beste icons vinden

donderdag 24 januari 2002, 11:22 uur #16

Saskiaa

Wingardium Leviosa

Eerlijk gezegd gaat dit wat boven m\'n pet...ik snap er nix van foto

"Wie heeft gezegd dat de liefde blind is? Zij is de enige die scherp ziet: zij ontdekt schoonheden waar anderen niets merken."

donderdag 24 januari 2002, 12:22 uur #17

mabit

wat heeft dit nu weer met google te maken...? vrij weinig... als je een access database in de wwwroot zet kan je hem ook gewoon downloaden met een progje dat je ook gebruikt om een hele website te downloaden.

Verder is het natuurlijk ook dom om pagina\'s in een cms systeem niet te beveiligen met een sessie

in mijn eigen cms systeem staat gewoon dit:

<%
if(Session("validuser") != true)
Response.Redirect("banned.asp")
%>

of te wel als je geen valid user bent, kan je de pagina niet openen....

lijkt me toch niet zo veel moeite..?

Bij Disneykand sluit alles, behalve de souvenirwinkels

donderdag 24 januari 2002, 12:47 uur #18

RRRobert

≠

ff zien of \'t werkt:

search: makro+folder
result:
quote:
...Folder
aardappelen/groente/fruit. aardappelproducten diepvries.
aperitieven. bieren. biscuit en koek. boterhambeleg ...
www.makro.nl/Folder/artikelgroepen.asp - 29k - In cache - Gelijkwaardige pagina\'s

Inloggen Makro Folder
... Inloggen Makro folder. Voor het bezichtigen van de Makro folder moet u in het bezit zijn van een Makro-pas. U hoeft uw pasnummer slechts een maal per bezoek in ...
www.makro.nl/folder/content.asp - 5k - In cache - Gelijkwaardige pagina\'s...

]

Ik klik op Folder... en \'t werkt! foto foto foto

* RRRobert had dit ook al op tweakers gelezen foto

Elke god is een leugen. Elke religie is een doctrine. Elke profeet is een charlatan. Punt.

donderdag 24 januari 2002, 14:42 uur #19

Dj_Freeze

Cold as stone

Dat is niet echt googles schuld vind ik. Het is eerder de schuld van de sites die zo dom zijn om geen wachtwoord te vragen en/of wachtwoorden ongeëncrypt in een database te zetten. Die sites verdienen het naar mijn inzien wel om \'gehacked\' te worden.

I am the alpha and the omega

donderdag 24 januari 2002, 16:10 uur #20

MrCaBLeGuY

stom forum

Daar is al enige tijd zo, wanneer je op google flink je best doet om te zoeken op termen als \'login.mdb\' of \'mailing.mdb\' of iets in die trant heb je binnen heb je vrij vlot of honderduizenden e-mailadressen gevonden en volop logins/passwords van sites.

Dit lijkt me niet echt aan Google te wijten, dat hun searchenigine zo goed is dat ze dit probleemloos indexeren is alleen maar iets om trots op te zijn.

Maar dit artikel had een jaar geleden ook geplaatst kunnen worden, dus echt up-to-date is het niet ...

Het leven is wat je gebeurt terwijl je andere plannen maakt - Jonh Lennon

donderdag 24 januari 2002, 16:43 uur #21

ScitzoFreak

Dit is al heel lang zo, dacht dat iedereen dat nu onderhand wel wist, is gewoon een foutje van een domme sys admin. foto

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

Sites via Google erg kwetsbaar

Lees ook

21 reacties