Zero
egli linguaggio di programmazione PHP è stato rilasciato per la prima volta nel 1995, ma 23 anni dopo centinaia se non migliaia di sviluppatori di siti web sono ancora riusciti a capire il concetto di base che il debug di errore e messaggi di segnalazione può contenere informazioni che possono portare a un hack e non dovrebbe mai essere lasciato attivo in diretta su un sito web.
Questo è ancora un problema, anche oggi, nel 2018, secondo Bob Diachenko, Direttore del Rischio informatico Ricerca in cyber-sicurezza ditta Hacken.
Diachenko ha recentemente effettuato un internet di ricerca a livello di ricerca per i siti web codificato in Laravel, un framework PHP per la costruzione di applicazioni web, che stava esponendo le loro modalità di debug.
“Ho […] venire con un meraviglioso elenco di 566 IPs”, ha detto Diachenko in una ricerca pubblicata oggi.
Le informazioni contenute in Laravel modalità di debug può variare, a seconda della funzionalità del framework sito web o web app ha usato, da suggerimenti di base su un errore di posizione nel codice sorgente per i casi in cui il messaggio di debug sbotta altamente sensibili database e le credenziali API.
“Queste informazioni possono consentire a un utente malintenzionato ottenere ulteriori informazioni e, potenzialmente, per concentrarsi sullo sviluppo di nuovi attentati per il sistema di destinazione,” Diachenko detto.
Il più pericoloso dei casi sono stati, ovviamente, i siti web che stampa il database e API credenziali in chiaro via Laravel modalità di debug messaggi.
“Per le ultime due settimane, ho responsabilmente notificato il 22 aziende che le credenziali sono state esposte in modo” Diachenko detto.
Un incidente che spicca sopra tutti gli altri in Diachenko recente studio, è il caso di PrestoDaycare, una società svedese che sviluppa un web-based infanzia piattaforma.
La società web service permette agli insegnanti, pre-scuola, il personale, i dirigenti e i genitori, gestire, partecipare, e tenere un occhio su di pre-scuola e attività tramite un web-based. Ma il mese scorso, Diachenko trovato perde un tesoro di dati sensibili tramite il suo Laravel modalità di debug che era ancora attivo.
Il sito trapelato tutto e di tutto un hacker avrebbe bisogno di accedere al proprio server e scaricare i dati sensibili sui servizi per l’infanzia, i bambini e i loro genitori.
PrestoDaycare portale perdite DB e API credenziali
Immagine: ZDNet
Ci sono voluti Diachenko un paio di giorni per entrare in contatto con l’azienda, ma con l’aiuto dei locali svedese ricercatori di sicurezza e Computer svedese di Emergenza Research Team (CERT), PrestoDaycare è stato notificato, e la società ha disattivato il debug mode sul suo sito web.
ZDNet ha inviato alla società una serie di domande all’inizio di questa settimana, chiedendo per quanto tempo è stata la modalità di debug lasciato abilitato, i dati memorizzati sui server’, le cui credenziali sono state trapelate, e se l’azienda guardato i log di accesso per vedere se le persone non autorizzate aveva usato esposte le credenziali.
Mentre PrestoDaycare non ha risposto alla nostra richiesta di commento, hanno fatto dire a Diachenko la scorsa settimana che “come GDPR conforme organizzazione, [essi] notificato l’incidente, come per la direttiva.”
La società ha anche negato che hanno lasciato la modalità debug attivata intenzionalmente, accusando un bug.
Diachenko dice che delle 22 società ha notificato cinque ha ancora risposto alla sua e-mail, e sono ancora esposizione di dati sensibili tramite i messaggi di debug.
Dovrebbe andare senza dire a questo punto che la modalità di debug, indipendentemente dal fatto di essere Apache, PHP, Java, JavaScript, o altra tecnologia, non dovrebbe essere lasciato abilitato sul live/sistemi di produzione.
Precedente e relativa copertura
Corea del nord APT38 gruppo di hacker dietro di banca rapine di oltre $100 milioniDHS consapevoli dei continui attacchi APT a fornitori di servizi cloudCanadese catena di ristoranti soffre il paese interruzione dopo l’epidemia di malware
Gwinnett Centro Medico indaga la possibile violazione di dati diFacebook potrebbe affrontare $1.63 miliardi di fine sotto la GDPR negli ultimi violazione di datidel Dipartimento di Stato rivela violazione di dati, informazioni per i lavoratori espostiTechRepublic: Perché il 31% delle violazioni di dati di piombo per i dipendenti il licenziamento diCNET: Dopo Facebook trucco, c’è un sacco di inutili post-violazione consigli
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0