Tracker: The Shinning
Source: veränderte NetVision-Source
Dieses Security-Review beschäftigt sich mit dem Tracker „The-Shinning“. Anders als der Name erahnen lässt, gibt es leider nicht viel "scheinendes" zu vermelden in diesem Review.
Serversicherheit
Bis vor Kurzem konnte man noch die PHP-Info öffentlich einsehbar finden. Scheinbar hat das Borgzelle Review etwas Staub aufgewirbelt und die Admins von The-Shinning haben reagiert und das gute Stück entfernt. Natürlich habe ich die Infos vorsorglich gesichert.
PHP-Version: PHP Version 5.3.3-7+squeeze26 (Aktuellste: 5.6.9)
Nicht die neuste Version, allerdings gibt es keine nennenswerten Sicherheitsprobleme mit der 5.3.3, daher kein Grund zur Sorge.
MySQL-Version: 5.1.73 (Aktuellste: 5.6.25)
Hier gilt das Gleiche wie bei PHP. Zwar nicht aktuell, aber unbedenklich. Trotzdem sollte man natürlich nicht ewig warten bis irgendwann mal eine Sicherheitslücke entdeckt wird und versuchen, PHP/MySQL up to date zu halten.
Die PHP-Info wurde wie bereits oben erwähnt entfernt. Sonst wäre dies ein Kritikpunkt gewesen.
Trackersicherheit
Der Tracker hat so viele Sicherheitslücken, dass man fast glauben muss, es steckt Absicht dahinter. Ich bin problemlos in die Datenbank gekommen und hätte sicherlich so einiges damit anstellen können.
vorhandene Datenbanken:
- information_schema
- mysql
- performance_schema
- shinning
Kleiner Auszug aus der Usertabelle:
id class username passhash 1 13 the.shinning1@***.de Jackpot 99caa7a920e53bf11f4648e6747a61e9 12 106 ctr2001@***.de skydog cac7b61043601ec458535a4974ddf765 52 5 Michael866@***.de Michael866 9adac0a7cbdd7b8fadc86d882ff29de9 87 3 sk8ramp1@***.com gtx b8f28c6fad2236bc8a7499552e09732a 96 3 fielding71@***.de Harry e11ab0c65e543f4396c0a148159cd78a 127 6 stefanw4@***.com cartman 8584b6c0b5e521850ec132b61157c17f 148 6 kai-s-frank@***.de seimen f4454e179aee0e446c6411683f2de9e0 157 3 funtasie@***.net Funtasie b4cad99138bc4683ed1d6a65723c1468 162 3 memphistennessee@***.de Elvis da47d660795899e54124d7e4ecca5090 175 6 bittor68@***.de goose 791fc48db5e0f73f684777bd72edecf7
Passhashes sind zwecks Salt natürlich kaum zu knacken.
Fazit
Gäbe es ein Security-Review Ranking, wäre dieser Tracker bisher an letzter Stelle. Eklatante Sicherheitslücken innerhalb des Trackers gewähren Zugriff auf die komplette Datenbank und mit etwas Zeitaufwand kann man höchstwahrscheinlich den ganzen Tracker hacken und übernehmen. Auch The Shinning handelt grob fahrlässig und verlässt sich darauf, dass nur User ohne böse Absichten auf dem Tracker unterwegs sind. Wenn ich wollte, könnte ich einen kompletten Dump der Datenbank anfertigen und veröffentlichen.
Das abschließende Fazit fällt daher vernichtend schlecht aus. Von diesem Tracker bloß die Finger lassen!
Bookmarks