Nul
han PHP programmeringssprog blev første gang udgivet i 1995, men 23 år senere hundredvis, hvis ikke tusindvis af website-udviklere er stadig ikke til at forstå det grundlæggende begreb, der debugging og fejlrapportering beskeder kan indeholde oplysninger, der kan føre til et hack, og det bør aldrig overlades aktiveret på en levende hjemmeside.
Det er stadig et problem, selv i dag, i 2018, ifølge Bob Diachenko, Direktør for Cyber Risiko Forskning på it-sikkerhedsfirma Hacken.
Diachenko har for nylig gennemført en internet-bred søgning på udkig efter hjemmesider kodet i Laravel, et PHP-framework til at bygge web-apps, der var at udsætte deres debug mode.
“Jeg har […] komme op med en fantastisk liste over 566 IPs,” sagde Diachenko i forskning, der er offentliggjort i dag.
De oplysninger, der er indeholdt i Laravel’s debug-tilstand kan variere, afhængigt af hvad der rammer funktioner på hjemmesiden eller web-app har brugt, fra grundlæggende tip om en fejl og en placering i kildekoden til de tilfælde, hvor debug besked blurts ud af meget følsomme database-og API-legitimationsoplysninger.
“Disse oplysninger kan hjælpe en hacker få mere information og eventuelt at fokusere på udvikling af yderligere angreb til target-systemet,” Diachenko sagde.
De mest farlige sager var, naturligvis, websteder, der trykte database og API legitimationsoplysninger i klartekst via Laravel’s debug-tilstand beskeder.
“I de sidste to uger, jeg har ansvarligt meddelt 22 virksomheder, der legitimationsoplysninger blev eksponeret på en sådan måde,” Diachenko sagde.
Den ene hændelse, som stod over alle andre i Diachenko ‘ s seneste undersøgelse var tilfældet for PrestoDaycare, som er et svensk selskab, der udvikler en web-baseret børnepasning platform.
Virksomhedens web service kan lærere, pre-school, personale, ledere og forældre, administrere, deltage, og holde øje med, før-skole aktiviteter, der via en web-baseret betjeningspanel. Men i sidste måned, Diachenko fandt det utætte en guldgrube af følsomme oplysninger via sin Laravel debug-mode, der stadig var aktive.
Stedet lækket alt, og noget, som en hacker skulle til at få adgang til deres servere og hente følsomme data om daginstitutioner, børn og deres forældre.
PrestoDaycare portal lækker DB og API legitimationsoplysninger
Billede: ZDNet
Det tog Diachenko et par dage til at komme i kontakt med virksomheden, men med hjælp fra lokale svenske sikkerhed forskere og den svenske Computer Emergency Research Team (CERT), PrestoDaycare blev anmeldt, og virksomheden deaktiveret debug mode på sin hjemmeside.
ZDNet sendte firmaet en række af spørgsmål tidligere i denne uge, spørge om hvor lang tid var debug mode venstre aktiveret, hvilke data, der var gemt på servere”, hvis mandat blev lækket, og hvis virksomheden kiggede på access logs for at se, om uautoriserede personer havde brugt udsat legitimationsoplysninger.
Mens PrestoDaycare ikke reagere på vores opfordring til at kommentere, de gjorde fortælle Diachenko i sidste uge, at “som en GDPR-kompatibel organisation, [de] anmeldte hændelsen som per direktivet.”
Virksomheden har også nægtet, at de har forladt debug-tilstand aktiveret med vilje, at skyde skylden på en fejl.
Diachenko siger, at af de 22 selskaber, han meddelt, fem har endnu til at reagere på hans e-mails, og er stadig afsløre følsomme data via debug-beskeder.
Det bør være en selvfølge i dette punkt, at debug tilstande, uanset at være Apache, PHP, Java, JavaScript, eller andre teknologi, bør ikke overlades aktiveret på live/produktionssystemer.
Tidligere og relaterede dækning
Nordkoreas APT38 hacking gruppen bag bank kup på over $100 millionerDHS klar over igangværende APT-angreb på cloud-udbydereCanadiske restaurant kæde lider landsdækkende nedbrud efter malware udbrud
Gwinnett Center for Medicinsk undersøger mulige data, brudFacebook kunne ansigt $1.63 bn bøde i henhold til GDPR over seneste data, brudState Department afslører brud på datasikkerheden, medarbejder information udsatTechRepublic: Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyretCNET: Efter Facebook ‘ s hack, er der en masse ubrugelig efter brud rådgivning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0