Privilegien

Falsche Ausführungs- und Zugriffsrechte mit automatisierten Pentest aufdecken

Inhalt

Ziel der administrativen Zugriffskontrolle ist es, dass jeder Nutzer eines Service nur die Aktionen ausführen darf, die ihm zustehen. Dazu werden Nutzergruppen und Rollen definiert, denen jeweils unterschiedliche Aktionen gestatten werden. Anders ausgedrückt, Sie besitzen unterschiedliche Privilegien.

Das Prinzip ist trivial: Ein gewöhnlicher Besucher einer Webseite sollte, sofern es sich um eine öffentliche Seite handelt, den Inhalt der Webseite lesen können. Er sollte jedoch in der Regel niemals die Programmierung der Seite abändern können und beispielsweise eigenen Code auf der Seite platzieren, der dann von anderen Besuchern ausgeführt wird.

Der automatisierte Penetrationstest von Enginsight prüft bei verschiedenen Services, ob er Operationen ausführen kann, die ihm normalerweise nicht zustehen. Gelingt ihm das, erhalten Sie die entsprechende Warnung, sodass Sie die Ausführungs- und Zugriffsrechte anpassen können, bevor Hacker mit schlechten Absichten sich Ihren Systemen zu schaffen machen. Hacktor prüft die Services FTP, MongoDB, MySQL und telnet auf ihre Privilegien-Konfiguration.

FTP

Das File Transfer Protocol (FTP) ist ein Kommunikationsprotokoll und gehört zu der Gruppe der Netzwerkprotokolle. Mit FTP wird Austausch von Daten zwischen mehreren Computern über ein Netzwerk (z.B. das Internet) regelt. Die häufigste Verwendung findet FTP, um Dateien auf einem Webserver zu organisieren. So lassen sich einfach Verzeichnisse erstellen, Dateien auf den Server, hochladen, herunterladen oder umbenennen.

Ein Anonymous-Zugriff erlaubt auch ohne eigenen Account auf FTP-Server zuzugreifen (siehe: Pentest stellt Authentifizierungsverfahren auf die Probe). Einem Anonymous-Nutzer sollten aber nur eingeschränkte Zugriffsrechte gewährt werden.

Hacktor prüft daher auf:

Anonymous Access to root (/) DirectoryDas root-Verzeichnis ist Teil des Backends und ein Zugriff via FTP sollte nur autorisierten Benutzern mit entsprechenden Zugangsdaten gewährt werden.
Anonymous Change Working Directory (cwd) AccessDer Befehl CWD erlaubt das Wechseln des aktiven Verzeichnisses auf dem FTP-Server. Diese Möglichkeit sollte anonymen Nutzern nicht gestattet sein.
Anonymous Write File PermissionAchten Sie darauf, Lese- und Schreibrechte richtig zu konfigurieren. Anonymen Nutzern sollten niemals über Schreibrechte verfügen.

MongoDB

MongoDB ist eine dokumentorientierte NoSQL-Datenbank. Sie ist erst im Jahr 2009 erschienen, jedoch inzwischen die am weitesten verbreitete NoSQL-Datenbank. Ihre Vorteile liegen in einer guten Performance mit großen Datenmengen, der enormen Flexibilität und einfachen Skalierbarkeit.

Hacktor prüft, auf welche Sammlungen ein Zugriff möglich ist und ob sich Sammlungen hinzufügen lassen. Im Detail testet er:

Allows access to Admin DBDer Hauptzweck der Admin Database ist das Aufbewahren von system collections, authentication und authorization data, was Benutzernamen und Passwörter beinhaltet. Auf diese sensiblen Informationen sollte nur der Administrator Zugriff haben.
Allows access to Local DBIn der Local DB liegen Daten zur Verwaltung und dem Zugriffsmanagement der Datenbank. Auf diese Daten sollte kein Zugriff möglich sein.
Allows access to Config DBIn der Congig DB liegen Daten zur Verwaltung und dem Zugriffsmanagement der Datenbank. Auf diese Daten sollte kein Zugriff möglich sein.
Allows access to diverse DBsIn den Sammlungen, die nicht zur standard collection (Admin/Local/Config) gehören, liegen die spezifischen Daten der Datenbank. Auf sie sollte kein Zugriff möglich sein.
Insert collection is allowedDas Hinzufügen von Sammlungen sollte nur entsprechend authentifizierten Nutzern erlaubt sein.
Delete collection is allowedDas Löschen von Sammlungen sollte nur entsprechend authentifizierten Nutzern erlaubt sein.

MySQL

MySQL ist das bekannteste relationale Datenbankverwaltungssysteme und die Standardlösung für dynamischen Webseiten. Bereits seit 1995 erschienen, ist MySQL mittlerweile bei Version 8 angekommen.

Eine korrekte Definition von Zugriffs- und Ausführungsrechten ist von hoher Bedeutung, um Datenverluste oder den Ausfall einer Webseite zu vermeiden. Unbefugte sollten daher keine falschen Privilegien besitzen.

Hacktor prüft MySQL-Datenbanken auf:

Can create new userIhre MySQL-Datenbank sollte so konfiguriert sein, dass es für Unbefugte nicht möglich ist, einen neuen Nutzer anzulegen.
Access performance_schema DBDas MySQL Performance Schema ist eine Funktion zur Überwachung der MySQL-Ausführungen. Diese Informationen sollten nicht öffentlich zugänglich sein.
Alter user privilegesDie Rolle von Nutzern kann geändert werden, zum Beispiel zu einem Nutzer mit Administrator-Rechten. So können unberechtigte Zugriffe ermöglicht werden.
Test DB foundViele MySQL-Server erstellen bei der Installation eine Datenbank mit dem Namen „test“, die für alle Nutzer zugänglich ist. Diese Einstellungen werden auf alle Datenbanken, deren Bezeichnung mit test_ beginnt, übertragen. Die Test-Datenbank sollte daher prinzipiell entfernt werden.

telnet

Bereits 1969 entwickelt, seit 1974 im Einsatz, ist Telnet ein echter Dinosaurier unter den Netzwerkprotokollen. Es ermöglicht einen Remote-Zugriff auf entfernte Server oder Clients. Dabei verzichtet telnet auf eine verschlüsselte Verbindung, weshalb es heute dafür immer weniger verwendet wird. Stattdessen hat sich SSH als sichere Alternativlösung etabliert. Wenn sich telnet trotzdem weiter im Einsatz befindet, sollten die Privilegien für Standard Nutzer geprüft werden.

Hacktor checkt bei telnet:

Standard User with Administrator PrivilegesStandard-Benutzer sollten via telnet nicht über Administrator-Rechte verfügen. Aufgrund des eingeschränkten Sicherheitslevels ist von einer Verwendung von telnet generell abzuraten.

Ihre gesamte IT mit guten Absichten attackieren

Enginsights automatisierter Pentest ermöglicht es, die gesamte IT-Infrastruktur mit wenigen Klicks zu attackieren, um kritische Schwachpunkte aufzudecken. Durch Bruteforce-Attacken (bspw. auf SSH, Redis, Maria DB…), CVE-Scans und einer intelligenten Discovery-Phase liefert er aussagekräftige Analyseergebnisse.

Lassen Sie sich von Enginsight hacken. Legen Sie sich einen kostenlosen Testaccount an und prüfen Sie Ihre IT auf Einstiegspunkte.

Eine detaillierte Beschreibung der Funktionsweise des Pentests von Enginsight erhalten Sie in der Dokumentation.

Erfahren Sie mehr zu unserer Pentest-Komponente:

Klicke den Bearbeitungs-Button um diesen Text zu verändern. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

jQuery(window).load(function() { jQuery.each( elementorFrontend.documentsManager.documents, ( id, document ) => { if ( document.getModal && id == 4611) { // It's a popup document document.getModal().on( 'show', () => { console.log( 'src="https://cdn.pipedriveassets.com/web-form-assets/webforms.min.js' ); } ); } }); });

100% Eigenentwicklung, Made in Germany.