Web-Präsenzen offen wie Scheunentore

Mit einfachen Skripten lassen sich bei etlichen Providern Kundendaten und Systemdateien ausspionieren.

In Pocket speichern vorlesen Druckansicht 449 Kommentare lesen
Lesezeit: 1 Min.
Von

Skriptsprachen wie Perl und PHP machen Websites interaktiv: Online-Shops, Gästebücher, Foren et cetera lassen sich damit realisieren. Doch stellen PHP- und Perl-Skripte in den günstigen Shared-Hosting-Umgebungen, bei denen sich mehrere Domains einen Server teilen, ein großes Risiko dar: Als Bestandteil des Web-Servers ermöglicht die Skript-Laufzeitumgebung mitunter den Zugriff auf sicherheitsrelevante Teile des zugrunde liegenden Systems.

c't hat mit einem in PHP geschriebenen Datei- und Verzeichnisbrowser stichprobenartig bei zehn Providern geprüft, wie gut sie das mit dem Einsatz der Skriptsprache verbundene Sicherheitsrisiko abfangen -- mit alarmierendem Ergebnis: Bei der Hälfte der Provider hätte ein Angreifer freien Zugriff auf Kundenpräsenzen gehabt, zum Teil waren Passwortlisten (/etc/passwd) und Server-Konfigurationsdateien (httpd.conf) frei zugänglich.

Dabei gibt es durchaus eine Reihe von Möglichkeiten, Skripten den Zugriff auf fremde Server-Bereiche zu verwehren. Das zeigte sich am Beispiel der Provider, bei denen kein Sicherheitsloch zu finden war. c't berichtet in der kommenden Ausgabe 14/02, die am Montag erscheint, ausführlich über das offenbar weit verbreitete Sicherheitsproblem. Da davon auszugehen ist, dass die Angebote von weiteren Internet-Dienstleistern ähnliche Lücken aufweisen, hat die Redaktion vorab mit Unterstützung durch den eco-Verband und die webhostlist einen Warnhinweis für eventuell betroffene Unternehmen herausgegeben. (jo)