Results 1 to 3 of 3

Thread: w00t

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,543
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3543

    w00t

    Tracker: w00t
    Source: Custom NV-Source

    Stück für Stück versuche ich meine wirklich lange Liste an Trackern abzuarbeiten. Heute bin ich bei w00t angekommen. Ich wunder mich ja wirklich immer wieder auf’s Neue, was es in Deutschland alles für Tracker gibt. Würden mich die User nicht darauf hinweisen, hätte ich noch nie etwas von diesem Tracker gehört. Aber ich stelle mich gerne in den Dienst der Community, weshalb ich jetzt mit dem Security-Review von w00t loslege. Ein besonderer Dank gilt Instab, der mich bei dem Part Serversicherheit ab sofort unterstützen wird und es bei diesem Review auch schon tatkräftig getan hat.

    Serversicherheit

    OS: Linux, Debian
    Webserver: Apache
    SMTP: Postfix

    Ebenfalls von außen erreichbar ist MySQL und die Ports 8010 und 8011. Letzterer erwartet direkt ein Passwort, aber es bleibt auf den ersten Blick unklar, um welchen Dienst es sich handelt.
    Die Datenbank von außen auf dem Standardport erreichbar zu haben ist grundsätzlich keine gute Idee. Auch wenn, wie in diesem Fall, ein Hostfilter das Ganze beschränkt.
    Alles in allem sieht es nach einer mangelhaft konfigurierten Standardinstallation ohne Firewall aus, die in fast jeder Hinsicht noch Luft nach oben hat.
    Ich konnte zudem die Support-Mail Adresse von w00t heraufinden, da diese im Klartext in einem der PHP-Dateien steht: woot-support@z1p.biz

    Trackersicherheit

    Bei w00t war es verhältnismäßig schwierig eine Lücke ausfindig zu machen. Die beliebtesten Lücken bei deutschen Trackern waren gut abgesichert, als ich die Hoffnung dann gerade aufgeben wollte, habe ich allerdings doch noch eine ziemlich gravierende gefunden. Auch hiermit ist es wieder möglich, Zugriff auf die Datenbank zu erhalten und je nach investierter Zeit den Tracker natürlich in vollem Umfang zu hacken. Nachfolgend habe ich die vorhandenen Datenbanken aufgelistet und exemplarisch einen Auszug aus der Benutzertabelle vom Tracker.

    Datenbanken

    • f1
    • forum-db
    • information_schema
    • tracker-db



    ID Added Class Email Username Passhash
    0 2009-03-24 23:29:51 300 james@butler.system James 57e3863e0f916e7fd84e7f915a9a8ab5
    1 2009-02-22 23:13:18 300 woodstock@woot.dyndns.dk Woodstock c0bc68dcea7579b2e55b4da71262fa9e
    2 2009-02-22 23:22:03 50 junevil@***.de Kokoetta 715a59f7a22b968d5a80839ef75e2122
    3 2009-02-23 23:59:21 52 thegamehhh@***.dyndns.dk TheGameHHH 922780054ef7ef8752d352a939c3ad63
    4 2009-02-24 21:04:18 200 smoooth@***.dyndns.dk SmOOOth 31a1f40cfb008f4408df4a7fbc2c6e6d

    Fazit

    Um den Server steht es schlecht, auch wenn es schon schlimmere Kandidaten gab. Eine regelmäßige Wartung unf Pflege sieht anders aus. Um den Tracker steht es noch schlechter. Potenzielle Angreifer können sich durch wenig Arbeitsaufwand Zugriff auf die Datenbank verschaffen und sämtliche sensible Daten auslesen. Grundsätzlich finde ich w00t von der Gestaltung, im Vergleich zu den meisten anderen deutschen Trackern, gar nicht mal so schlecht. Aber da dies hier ein Security-Review ist, ist der Tracker leider durchgefallen.


    PS.: Wer gerne ein Review von seinem Lieblings- oder Hometracker haben will, kann mir jederzeit eine PN schreiben.


    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    w00t (15.09.15) , Großmutter (14.09.15) , Snitlev (13.09.15) , blood (13.09.15)

  3. #2
    VIP Alienhunter Champion, Cubicle Warfare Champion, Knife Throw Champion, Mega Fortress Champion, Gas Attack! Champion, Radial Sudden Death Champion, Zombie Swarn Champion, Onslaught Champion, Moshing Champion, Thapa Ka Thappad Champion, Rapid Reaction Master Champion, Potion Panic Champion, Dead Frontier Night Three Champion, Zwill Champion, Kumkang Champion, Baby Kiss Champion, Hand Jibe Champion, Darten Champion, Salad Dodger Champion, Handbags at dawn Champion, Mr Garden Champion, Barbarian Champion, Raft Wars Champion, Under Cover Champion, Jonnys Deep Sea Snapshots Champion, The Enforcer Champion, Get Flippy Champion, Blackbeard's Island Champion, Moorhuhn Piraten Champion, Magic Arrow Champion, Air Balls Champion, Super Paint Ball Champion, Power Ball Challenge Champion, ReBound 3 Headshot Machine Gun Automatic Champion, When Balls Attack Champion, When Balls Attack Champion, Balloony Champion, Prehistoric Champion, Evil Care Bears Champion, Balloon Shoot Champion, Emperors Runaway Cart Champion, Trail For Snail Champion, Daffy Jumper Champion, Beermat Champion, Three of a Kind Champion, Wake Up Calls Champion, Crazy Block Breaker Champion, Bomb Bandits Champion, Conquer Antartica Champion, Sprout Invaders Champion, Dropkick The Faint Champion, Drop Kick Champion, Insects Champion, Hardware Hurl Champion, Shoot The Flies Champion, Free Fall Champion, Cheesehead Or Deadhead Champion, Master Of The Lawn Champion, Santa's Showdown  Champion, Halloween Hangman Champion, Dodge City Darts Champion, Gay SnowBall Game Champion, Alex In Danger Champion, Terrorist Hunt Full Champion, Snow Day Champion, Hammered Champion, B-Ball Shootout Champion, Knife Champion, Sitting At A Bar Champion, Fastfood Follies Champion, Bomb Darts Champion, A Ski Champion, Apple Season Champion, BmxRamps 2 Champion, Ninja Hunter Normal Champion, Squid Hunter Squids Champion, Suicide Puppy Champion, Kick Santa Champion, Snow Boarding Champion, Lolly Candy Factory Champion, Snow Seige Champion, Crash Test Dummy Curling Champion, Jumping Bananas Champion, Kill Kitties Champion, Puppy Juggling Champion, A Dog For All Seasons Champion, Clay Kitten Shooting 1 Champion, Kicker Champion, Star Craft Flash Champion, Sniper Champion, Penguin Pool Champion, George Wants Beer Champion, Ball Shooter Champion, Law Of The West Champion, NLOS Cannon Challenge Champion, Stress Relief Paintball Champion, Boris The Bandit Champion, Obstruction Euro Cup 2008 Champion, Crack Shot Champion, Counterstrike - Lite Champion, Garage Door Tennis Champion, Glow Shooter Champion, Star Fly Champion, Paint Ball Champion, Cowboys Champion, Delta Fighter Champion, Counter-Strike Champion, Roly Poly Champion, Shoot the devil Champion, Katocan Champion, Boat Hunt Champion, R-Shot v4 Champion, Chicken Shootout Champion, SHoots and Ladders Champion, Downhill Champion, Star Wars Champion, Shoot the Gatso Champion, Bonus Pong Champion, Euro 2008 Champion, Open Range Champion, Mini Golf Champion, Operation Switchover Champion, Plasma Burst - Forward to the past Champion, Air Invasion Champion, Agumaze Champion, Aquanox Champion, Ping Pong Champion, Aggressive Alpine Skiing Champion, Pinch Hitter Champion, Crazy Battle Champion, Kicker Koenig Champion, Nut The Taps Champion, Office Hoops Champion, 3D Tanks Champion, The Fisher Champion, Staple the S#!% Out of Kevin Pollak Champion, Bush Shootout test Champion, Bullseye Blaster 2 Champion, Flexi Combat Champion, President Rescue Champion, Kill Little Bastards Champion, Catch Roo Champion, ShootOut Champion, Skeet Shoot Champion, New York Defender Champion, Drive By Shooting Champion, Head to Head Champion, Frantic Killer Champion, Dart Shooter Champion, Rapid Randy Champion, Mini Bet On Soldier Champion, A Game Of 3 Halves Champion, ROFLattack! Champion, Destructionism Champion, Island Bowling Champion, Head Blast Champion, JawaShoot Champion, Shoot Em Up Champion, SlamDunk Champion, Xtreme Skateboarding Champion, Quake Eggs Champion, Celebrity Power Lifte Champion, Shoeting Gallery Champion, UFO Glow Champion, Foxhole 13 Champion, Tower Blaster Champion, Iconien Champion, Defend the Attack Champion, Battle Garden Champion, Sniper Range Champion, Starship Champion, Cock Shooter 2 Champion, Easy Target Champion, Bin Laden Liquors Champion, Neverland Champion, Don't Eat Grandma Champion, Kill Tweety Champion, Against War Champion, Shape Shooter 3 Champion, Beaver Blast Champion, The Perilous Voyage Champion, Canyon Shooter Champion, Candy Shoot Champion, Brainiac Champion, 30 Sec Monkey Hunt Champion, Clash N Slash Champion, COLOR-RADO Champion, Cow Tipping Champion, Blobstar Champion, Rat Shooter Champion, Ren & Stimpy - Crazy Cannon Champion, Another non-African Safari Champion, Cock Shooter Champion, Your Face Champion, Chicken Attack Champion, Special Operations Champion, Epic Riffs - Easy Champion, Shoot Typing Champion, Terrorist Attack Champion, Weapons Dealer Champion, Damn Birds! Champion, Water Chick Champion, Milk Panic Champion, Touch The Bubbles Champion, Musik Marathon Champion, Colorwars Champion, Shooting Fish Champion, Pigeon Hunter Champion, Death Dice Champion, Wild Boar Hunt Champion, Bloody Seal Bounce Champion, KGB Hunters v32 Champion, Miniwitch Darts  Champion, Vinnies Shootingyard 2 Champion, At Home - Spot the Difference Champion, A Windy Day Champion, Jumping Troll Champion, Barnville Massacre Champion, Grandpa Launcher Champion, High Tide Champion, Knife Throw 2 Champion, Diving Champion Champion, Colorbot 2 Arcade Champion
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WIO
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,427
    Activity Longevity
    2/20 18/20
    Today Posts
    0/5 ssss10427
    Das ist schon mal sehr begrüßenswert, dass sich das wOOt-Team aufgrund des Tests auf Tracker-Sicherheit, intensiv mit den Schwachstellen beschäftigt und diese auch beheben will

    Dem wOOt-Verantwortlichen kann ich wärmstens empfehlen sich diesbezüglich mal mit @Rebound auszutauschen

    Wichtige Information
    Die folgende Meldung ist wichtig
    für alle Mitglieder von w00t.
    Also bitte aufmerksam lesen.

    Wir wurden einer sog. Tracker Review unterzogen
    und haben den Test leider nicht bestanden.
    Direkt nach Bekanntgabe haben wir darauf reagiert
    und den Tracker sowie den Server ebenfalls
    weiteren Test unterzogen und konnten dadurch
    diverse Schwachstellen aufdecken und beheben.

    Es wurden dabei keine Daten kompromitiert
    und es gab auch keinen direkten Serverzugriff,
    sondern es konnten *lediglich* Inhalte der Datenbank ausgelesen werden,
    was ebenfalls schlimm genug ist.

    Da wir nachvollziehen können, dass einige von euch geschockt sein werden,
    bieten wir an auf Wunsch eure Daten/Account restlos zu löchen, sendet dazu eine TeamPM.
    Wer uns kennt, weiß dass wir von nun an noch wesentlich sorgfältiger agieren werden,
    alles doppelt und dreifach überprüfen, so wie es sich gehört.
    Wir sehen das ganze als eine Art Weckruf, da hinter der ganzen Aktion zum Glück
    keine bösen Absichten stecken.

    Wir möchten ebenfalls anmerken,
    dass wir diese Security Reviews sehr begrüssen.
    (Am liebsten mit Voranmeldung)

    Infolink: w00t

    Das obligatorische Passwort ändern sollte eigentlich
    selbstverständlich sein und trotzdem gibts es für jeden
    individuell nochmal einen Hinweis dazu
    welcher dann nach dem Ändern verschwindet.
    Quelle: wOOt






    regards
    Last edited by Snitlev; 15.09.15 at 07:11.


    stop animal experiments, take child molesters - they like pain!
    Wir sollten aufhören die Opfer zu beweinen!
    Wir müssen anfangen die Schuldigen zu bestrafen!

    Bitte um Beachtung! - Für Rauchen unter 18 bekommt man eine Verwarnung - Für unangeschnalltes Fahren eine Geldstrafe - Für Mord ein paar Jahre - Bei Waffenhandel eine minimale Gefängnisstrafe - Als Raubkopierer bis zu 5 Jahre und saftige Geldstrafe... ... doch wenn man ein Kind vergewaltigt, eine sinnlose Therapie??? Darum: HÄRTERE GESETZE GEGEN KINDERSCHÄNDER!

    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat

    http://www.sb-innovation.de/f227/ers...mahnung-16423/

    http://www.sb-innovation.de/f227/akt...hnwerke-14268/

    https://epetitionen.bundestag.de/ind...ction=register


    Nationalität: Schalker

    Je suis France
    Reply With QuoteReply With Quote
    Thanks

  4. Who Said Thanks:

    w00t (15.09.15) , Rebound (15.09.15)

  5. #3
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,543
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3543
    Finde ich gut, dass ein Tracker so offen damit umgeht. Bis auf die von mir veröffentlichten Daten wurde übrigens nichts gespeichert, anderweitig veröffentlicht oder ausgelesen. Diese Reviews dienen lediglich Informationszwecken und haben nicht die Absicht, sensible Daten zu entwenden oder Tracker nachhaltig zu schädigen.


    Reply With QuoteReply With Quote
    Thanks

  6. Who Said Thanks:

    Snitlev (15.09.15) , w00t (15.09.15)

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188