Tracker: Torrentheaven
Source: selfcoded
In letzter Zeit war es etwas ruhiger um die Security-Reviews, da ich leider kaum Zeit hatte. Da ich immer ziemlich gründlich bin, ist so ein Check doch relativ zeitaufwendig. Trotzdem habe ich es geschafft den TH mal etwas genauer unter die Lupe zu nehmen und musste dabei leider einige grob fahrlässige Lücken feststellen. Früher als der TH tatsächlich noch mit den Großen mithalten konnte, war er sogar mal mein Lieblingstracker. Wieso man mittlerweile allerdings die Finger von diesem Tracker lassen sollte, werde ich im Folgenden genau erläutern.
Serversicherheit
OS: Linux, Debian 7
DB: MySQL 5.0.12
PHP: 5.4.45
Webserver: Apache
SSH: OpenSSH_6.0p1
Die Serverwartung ist leider nur Durchschnitt. Besonders die MySQL Version ist etwas in die Jahre gekommen (von 2005!) und sollte mal einem Update unterzogen werden. Offene Ports von nicht benötigten Drittanwendungen waren nicht zu finden, was schon mal gut ist. Grundsätzlich ist der Server zwar vernünftig aufgesetzt, aber eher schlecht gewartet. Trotz teilweise veralteter Software ist der Server meiner Meinung nach aber (zumindest momentan) nicht als Sicherheitsrisiko einzustufen. Da habe ich schon weitaus schlimmeres gesehen.
Trackersicherheit
Wie in den meisten anderen Fällen auch liegt das Sicherheitsproblem im Tracker selber. Der TH-Tracker ist seit über zehn Jahren nahezu unverändert. Umso mehr wundert es mich das er noch nie gehackt wurde, denn die Lücken dürften schon damals existiert haben. Aber keine Sorge, das holen wir jetzt nach.
Wie immer exemplarisch ein paar Interna aus der Datenbank als Proof, dass ich tatsächlich drin bin:
Vorhandene Datenbanken
- information_schema
- performance_schema
- ircchat
- mysql
- phpmyadmin
- torrentheaven
- turboboard
Ich weiß nicht, ob sich der Coder vom TH damals, was gedacht hat, aber die Tabellenstruktur vom TH ist total merkwürdig. Userdaten sind z. B. in mehrere Tabellen aufgeteilt was meiner Meinung nach überhaupt keinen Sinn macht, da man so unnötige JOINS benötigt. Alle Tabellen vom Tracker beginnen mit dem Prefix „af_“, was sicherheitstechnisch ein guter Ansatz ist, aber natürlich nichts bringt, wenn im Tracker gravierende Lücken zu finden sind.
Es war beim TH zwar nicht einfach in die Datenbank zu kommen, aber es ist mir dennoch gelungen. Was man damit so alles anstellen kann, brauche ich glaube ich nicht zu erzählen, hat man ja in meinen vergangenen Security-Reviews gut gesehen.
Eine weiterer Sicherheitsverstoß, der mir aufgefallen ist, ist das Login. Es gibt weder Captcha noch eine IP-Sperre wenn man das Passwort falsch eingibt. Da die Mitgliederliste auf dem TH für alle User einsehbar ist, kann man sich also relativ einfach alle Accountnamen besorgen und dann auf das Login einfach eine Bruteforce Attacke mit den Accounts starten. Dafür muss man weder hacken können noch besonders talentiert sein. Das kann ein Zwölfjähriger mit dem richtigen Script. Es ist sehr bedauerlich, dass der TH im Endeffekt doch so schlecht abschneidet bei meinem Review. Trotz seines langen Bestehens steht er auf dem gleichen Level wie viele No-Name Tracker, die ich ziemlich einfach hacken konnte. Die Mischung aus durchschnittlicher Serverwartung und veraltetem Frontend (Tracker) werden dem TH zum Verhängnis. Was ihr daraus macht muss natürlich jeder für sich selber entscheiden. Trotzdem bekommt der TH von mir ein dickes „Unsafe“.
Originally Posted by dermo
Bookmarks