Sicherheitsprüfung für Anfänger :)

Ich habe heute eine kleine Anwendung gefunden, die eine massive Sicherheitslücke hatte. Deswegen hier mal eine kleine Information, was man nicht machen sollte:

Das Programm hat als Parameter die Information bekommen, welche Datei nun angezeigt werden sollte, z.B. so:

http://firma.de/cgi-bin/programm/anzeige.cgi?anzeige=willkommen.html

Wenn man sowas sieht, sollte man dann eigentlich sofort stutzig werden. Bin ich dann auch. Das, was man dann zwangsläufig probieren sollte, ist sowas:

http://firma.de/cgi-bin/programm/anzeige.cgi?anzeige=../../../../../../etc/passwd

Natürlich muss man da mit dem “../” etwas experimentieren.

Leider hat die Anwendung, die ich heute gefunden habe, da dann schön die passwd angezeigt. Jemand, der sowas programmiert, gehört echt auf ‘ne einsame Insel weit weit weg von jedem Computer.

Und wenn man sowas entdeckt: sofort melden und nicht ignorieren nach dem Motto: “mir egal!” oder “Et hätt noch immer jut jegangen” :(

Portrait photo of Bodo Tasche
Bodo Tasche
Polyglot Developer

I am a freelance polyglot developer and love HTML5, testing, JavaScript, Ruby and Elixir. In the last 20 years I have been in lots of different roles, from Java to Elixir, from backend developer at a 3 people team in an early phase startup to the CTO of a web agency. Some of my work can be seen on my projects page.

Need help developing your MVP or to add new features into your current app? Need a CTO or a front/backend developer for hire? Send me an email.