PDA

View Full Version : Unsafe w00t



Rebound
13.09.15, 15:23
Tracker: w00t (https://mywoot.biz)
Source: Custom NV-Source

Stück für Stück versuche ich meine wirklich lange Liste an Trackern abzuarbeiten. Heute bin ich bei w00t angekommen. Ich wunder mich ja wirklich immer wieder auf’s Neue, was es in Deutschland alles für Tracker gibt. Würden mich die User nicht darauf hinweisen, hätte ich noch nie etwas von diesem Tracker gehört. Aber ich stelle mich gerne in den Dienst der Community, weshalb ich jetzt mit dem Security-Review von w00t loslege. Ein besonderer Dank gilt Instab, der mich bei dem Part Serversicherheit ab sofort unterstützen wird und es bei diesem Review auch schon tatkräftig getan hat.

Serversicherheit

OS: Linux, Debian
Webserver: Apache
SMTP: Postfix

Ebenfalls von außen erreichbar ist MySQL und die Ports 8010 und 8011. Letzterer erwartet direkt ein Passwort, aber es bleibt auf den ersten Blick unklar, um welchen Dienst es sich handelt.
Die Datenbank von außen auf dem Standardport erreichbar zu haben ist grundsätzlich keine gute Idee. Auch wenn, wie in diesem Fall, ein Hostfilter das Ganze beschränkt.
Alles in allem sieht es nach einer mangelhaft konfigurierten Standardinstallation ohne Firewall aus, die in fast jeder Hinsicht noch Luft nach oben hat.
Ich konnte zudem die Support-Mail Adresse von w00t heraufinden, da diese im Klartext in einem der PHP-Dateien steht: woot-support@z1p.biz

Trackersicherheit

Bei w00t war es verhältnismäßig schwierig eine Lücke ausfindig zu machen. Die beliebtesten Lücken bei deutschen Trackern waren gut abgesichert, als ich die Hoffnung dann gerade aufgeben wollte, habe ich allerdings doch noch eine ziemlich gravierende gefunden. Auch hiermit ist es wieder möglich, Zugriff auf die Datenbank zu erhalten und je nach investierter Zeit den Tracker natürlich in vollem Umfang zu hacken. Nachfolgend habe ich die vorhandenen Datenbanken aufgelistet und exemplarisch einen Auszug aus der Benutzertabelle vom Tracker.

Datenbanken


f1
forum-db
information_schema
tracker-db





ID
Added
Class
Email
Username
Passhash


0
2009-03-24 23:29:51
300
james@butler.system
James
57e3863e0f916e7fd84e7f915a9a8ab5


1
2009-02-22 23:13:18
300
woodstock@woot.dyndns.dk
Woodstock
c0bc68dcea7579b2e55b4da71262fa9e


2
2009-02-22 23:22:03
50
junevil@***.de
Kokoetta
715a59f7a22b968d5a80839ef75e2122


3
2009-02-23 23:59:21
52
thegamehhh@***.dyndns.dk
TheGameHHH
922780054ef7ef8752d352a939c3ad63


4
2009-02-24 21:04:18
200
smoooth@***.dyndns.dk
SmOOOth
31a1f40cfb008f4408df4a7fbc2c6e6d



Fazit

Um den Server steht es schlecht, auch wenn es schon schlimmere Kandidaten gab. Eine regelmäßige Wartung unf Pflege sieht anders aus. Um den Tracker steht es noch schlechter. Potenzielle Angreifer können sich durch wenig Arbeitsaufwand Zugriff auf die Datenbank verschaffen und sämtliche sensible Daten auslesen. Grundsätzlich finde ich w00t von der Gestaltung, im Vergleich zu den meisten anderen deutschen Trackern, gar nicht mal so schlecht. Aber da dies hier ein Security-Review ist, ist der Tracker leider durchgefallen.


http://www.sb-innovation.de/attachment.php?attachmentid=15436

PS.: Wer gerne ein Review von seinem Lieblings- oder Hometracker haben will, kann mir jederzeit eine PN schreiben.

Snitlev
15.09.15, 08:05
Das ist schon mal sehr begrüßenswert, dass sich das wOOt-Team aufgrund des Tests auf Tracker-Sicherheit, intensiv mit den Schwachstellen beschäftigt und diese auch beheben will :top:

Dem wOOt-Verantwortlichen kann ich wärmstens empfehlen sich diesbezüglich mal mit @Rebound auszutauschen ;)



Wichtige Information
Die folgende Meldung ist wichtig
für alle Mitglieder von w00t.
Also bitte aufmerksam lesen.

Wir wurden einer sog. Tracker Review unterzogen
und haben den Test leider nicht bestanden.
Direkt nach Bekanntgabe haben wir darauf reagiert
und den Tracker sowie den Server ebenfalls
weiteren Test unterzogen und konnten dadurch
diverse Schwachstellen aufdecken und beheben.

Es wurden dabei keine Daten kompromitiert
und es gab auch keinen direkten Serverzugriff,
sondern es konnten *lediglich* Inhalte der Datenbank ausgelesen werden,
was ebenfalls schlimm genug ist.

Da wir nachvollziehen können, dass einige von euch geschockt sein werden,
bieten wir an auf Wunsch eure Daten/Account restlos zu löchen, sendet dazu eine TeamPM.
Wer uns kennt, weiß dass wir von nun an noch wesentlich sorgfältiger agieren werden,
alles doppelt und dreifach überprüfen, so wie es sich gehört.
Wir sehen das ganze als eine Art Weckruf, da hinter der ganzen Aktion zum Glück
keine bösen Absichten stecken.

Wir möchten ebenfalls anmerken,
dass wir diese Security Reviews sehr begrüssen.
(Am liebsten mit Voranmeldung)

Infolink: http://www.sb-innovation.de/f271/w00t-32478/

Das obligatorische Passwort ändern sollte eigentlich
selbstverständlich sein und trotzdem gibts es für jeden
individuell nochmal einen Hinweis dazu
welcher dann nach dem Ändern verschwindet.

Quelle: wOOt






regards

Rebound
15.09.15, 16:06
Finde ich gut, dass ein Tracker so offen damit umgeht. Bis auf die von mir veröffentlichten Daten wurde übrigens nichts gespeichert, anderweitig veröffentlicht oder ausgelesen. Diese Reviews dienen lediglich Informationszwecken und haben nicht die Absicht, sensible Daten zu entwenden oder Tracker nachhaltig zu schädigen.