schwimmen-inner

SECURITY FITNESS

SCHLANK REALISIEREN

UNSER LEISTUNGSSPEKTRUM FÜR

Beschreibung

Mit Hilfe der Angriffsmethode Path Traversal ist ein Angreifer in der Lage, beliebige Dateien auf dem Dateisystem des Webservers auszulesen, die eigentlich nicht für die Öffentlichkeit bestimmt sind.

Dieser Angriff wird bei mangelhafter Überprüfung von Pfadangaben z.B. bei URL-Parameter (Bsp.: www.example.com/get-file.php?file=report.pdf) ermöglicht. Mittels der Zeichenfolge „..“, die einen Wechsel in das übergeordnete Verzeichnis bedeutet, kann ein Angreifer durch mehrfache Verwendung der Zeichenfolge in jedes Verzeichnis wechseln und somit auf jede beliebige Datei zugreifen. Beispielsweise kann ein Angreifer über folgende Manipulation des file-Parameters www.example.com/get-file.php?file=../../../../etc/passwd die Datei passwd eines Unix-Systems auslesen, die die Passwörter der Benutzerkonten enthält.

Mit Hilfe der Passwörter kann der Angreifer sich in das Betriebssystem Ihres Webservers einloggen, was ihm Tür und Tor für weitere Angriffe öffnet wie z.B. Datenraub, Verunstaltung ihrer Webseite oder die Infizierung Ihrer Webbesucher.

Bekannt gewordene Angriffe/Vorfälle

  • Im Juli 2011 haben Hacker sicherheitsrelevante Dateien des Content-Management-Systems der der Penny.de-Webseite mittels einer Path-Traversal ausgelesen und veröffentlicht. Daraufhin musste die Webseite aufgrund von „Wartungsabeiten“ kurzzeitig vom Netz genommen werden. Golem: Penny.de ist nach Datenleck offline.
  • Apple hat eine Sicherheitslücke in seinem Online-Speicherdienst iDisk, siehe Heise: Apple dichtet iDisk ab.

Klassifizierung

  • Laut OWASP gehört die Path Traversal zu den Injection-Angriffen. Sie ist somit auf Platz 1 der Top Ten 2013 - der zehn häufigsten Sicherheitsrisiken für Webanwendungen - und kann schwerwiegende Auswirkungen haben, siehe -> OWASP_Top_Ten_Project.
  • Das Web Application Security Consortium (WASC) klassifiziert klassifiziert Path Traversal als Angriffsmethode siehe -> WASC: Path Traversal.
  • miDAS klassifiziert die Schwachstelle als „kritisch“.

Kontakt

Am 1. Oktober 2015 wurde der Geschäftsbetrieb der mikado ag auf die ft consult Unternehmensberatung AG übertragen.

Die Leistungen werden selbständlich in gewohnter Qualität auch künftig bereit gestellt.

Bitte setzen Sie sich mit uns in Verbindung.

München

ft consult Unternehmensberatung AG
Fürstenrieder Straße 5
80687 München

Tel.: +49 89 589 273 3
Fax: +49 89 589 273 59 
info@ft-consult.com   
www.ft-consult.com

Frankfurt am Main

ft consult Unternehmensberatung AG
Oeder Weg 48
60318 Frankfurt am Main 

Berlin

ft consult Unternehmensberatung AG
Georgenstraße 35
10117 Berlin

Tel.: +49 30 206 396 90