Noll
han PHP-programmering språk var först ut i 1995, men 23 år senare hundratals om inte tusentals webbutvecklare är fortfarande inte förstå det grundläggande konceptet att felsökning och felrapportering meddelanden kan innehålla information som kan leda till ett hack och bör aldrig lämnas aktiveras på en levande hemsida.
Detta är fortfarande ett problem, även idag, år 2018, enligt Bob Diachenko, Chef för It-Risk för Forskning på it-säkerhetsföretaget Hacken.
Diachenko har nyligen genomfört en internet-bred sökning som söker webbplatser kodade i Laravel, en PHP-ramverk för att bygga web apps, som var utsätta sina debug-läge.
“Jag har […] komma upp med en fantastisk lista av 566 IPs,” sade Diachenko i forskning som publiceras i dag.
Den information som finns i Laravel debug-läge kan variera beroende på vilka förutsättningar som finns på webbplatsen eller web app har använts, från grundläggande tips om ett fel plats i källkoden till fall där debug-meddelande kastar ut mycket känsliga databas och API-referenser.
“Denna information kan hjälpa en angripare få mer information och möjlighet att fokusera på utveckling av ytterligare attacker till målsystemet,” Diachenko sagt.
Den farligaste fall var, uppenbarligen, webbplatser som tryckt databas och API-referenser i klartext via Laravel debug-läge meddelanden.
“Under de senaste två veckorna, jag har ett ansvarsfullt sätt anmälda 22 företag som referenser var utsatta på ett sådant sätt,” Diachenko sagt.
En händelse som stod ut framför alla andra i Diachenko: s senaste studie var fallet PrestoDaycare, ett svenskt företag som utvecklar en webbaserad barnomsorg plattform.
Företagets webbtjänst som låter lärare, förskole-personal, chefer och föräldrar, hantera, delta, och hålla ett öga på förskole-verksamhet via en web-baserad dashboard. Men förra månaden, Diachenko finns det läcker ut en skatt av känsliga uppgifter via sin Laravel debug-läge som fortfarande var aktiv.
Webbplatsen läckt ut allt och ingenting en hacker skulle behöva för att komma åt dess servrar och ladda ner känsliga data om barnomsorg, barn och deras föräldrar.
PrestoDaycare portal läcker DB och API-referenser
Bild: ZDNet
Det tog Diachenko ett par dagar att komma i kontakt med företaget, men med hjälp av lokal svensk säkerhet forskare och svenska Computer Emergency Research Team (CERT), PrestoDaycare var anmälda, och företaget avaktiverat debug-läge på sin webbplats.
ZDNet skickade företaget en rad frågor som tidigare i veckan, frågar hur länge var debug-läge vänster aktiverad, vilka data som lagras på servrar vars referenser har läckt ut, och om företaget tittat på tillgång loggar för att se om obehöriga personer har använt utsatt referenser.
Medan PrestoDaycare inte svara på våra request for comment, de gjorde att berätta för Diachenko förra veckan att “GDPR-kompatibel organisation, [de] anmält händelsen enligt direktivet.”
Bolaget förnekade också att de har lämnat debug-läge aktiverat avsiktligt, genom att skylla det på en bugg.
Diachenko säger att av de 22 företag som han anmälda, fem har ännu inte svarat på hans mail, och är fortfarande utsätta känsliga uppgifter via debug-meddelanden.
Det bör gå utan att säga vid det här laget att felsöka lägen, oavsett om det är Apache, PHP, Java, JavaScript, eller annan teknik, bör inte lämnas aktiverat på live/produktionssystem.
Tidigare och relaterade täckning
Nordkorea är APT38 hacka gruppen bakom bank heists på över $100 miljonerDHS medveten om pågående APT-attacker på cloud service providersKanadensiska restaurang kedja lider landsomfattande strömavbrott efter malware utbrott
Gwinnett Medical Center undersöker eventuellt dataintrångFacebook riskerar $1.63 miljarder euro böter enligt GDPR över senaste dataintrångState Department avslöjar dataintrång, information om anställda utsättsTechRepublic: Varför 31% av dataintrång leda till att anställda får sparkenCNET: Efter Facebook ‘ hack, det finns en massa meningslösa inlägg brott råd
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0