Security Analyse

[Privateer]

Hallo liebe Forengemeinde,
vielleicht könnt ihr mir bei der Securitycheck Protokollauswertung helfen.
Verwendet habe ich dafür das Programm Nikto...

---------------------------------------------------------------------------
+ Target IP:          12.345.67.89
+ Target Hostname:    serverdomain.de
+ Target Port:        80
+ Start Time:         2012-08-03 17:56:24
---------------------------------------------------------------------------
+ Server: Apache/2.2.16 (Debian)
+ ETag header found on server, inode: 906101609, size: 177, mtime: 0x4b319b5f306c0
+ Apache/2.2.16 appears to be outdated (current is at least Apache/2.2.19). Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS 
+ OSVDB-3092: /manual/: Web server manual found.
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3268: /manual/images/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6456 items checked: 0 error(s) and 7 item(s) reported on remote host
+ End Time:           2012-08-03 18:01:54 (330 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Bei meinem anderen Server habe ich folgende Ausgabe

+ Target IP:          12.34.56.78
+ Target Hostname:    domain.de
+ Target Port:        80
+ Start Time:         2012-08-03 18:09:30
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ ETag header found on server, inode: 2495182, size: 128, mtime: 0x4b5a3633bc200
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.19). Apache 1.3.42 (final release) and 2.0.64 are also current.
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6456 items checked: 1 error(s) and 5 item(s) reported on remote host
+ End Time:           2012-08-03 18:20:19 (649 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

 

[Jenstheclown]

Und wir sollen dir jetzt jede Zeile erklären oder was? ..

 

[tomasini]

Nikto mag kein directory listing. Bei den angegebenen Verzeichnissen stellt dies m.M. aber kein echtes Sicherheitsproblem dar. Das kannst du aber sicher via Config deaktivieren, denn das muss nicht an sein. Falls das nicht geht, kannst du z.B. auch einfach eine leere index.htm in jedes Verzeichnis tun.

Zwei Dinge sind für dich hier wirklich relevant:

1.) Dein Apache ist nicht aktuell. In wie weit das jetzt sicherheitsrelevant ist kann ich selbst nicht beurteilen, da ich keinen Apache verwende.

2.) Beim zweiten Server solltest du das HTTP TRACE via Config deaktivieren, um nicht anfällig für Cross Site Tracing (XST) zu sein.

 

[Privateer]

Danke für die konstruktive Antwort!

Das mit dem Apache bzw. dem xst interessiert mich am meisten, wie weit kann eine solche Schwachstelle den Server gefährden. Kann ein Angreiffer via xst kontrolle über den Server erlangen oder was hat es genau auf sich damit. Google ist schon konsultiert worden aber geht in Fülle von Cross Site Scripting bischen unter...

Kennt ihr noch weitere Analysetools mit dem ich meine Server checken kann?

 

[Marentis]

Erster Google-Treffer, sogar auf Deutsch:
http://de.wikipedia.org/wiki/Cross-Site_Tracing

Und hier ausführlicher:
http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf

Ich habe Cross Site Tracing eingegeben und das sind die ersten zwei Ergebnisse, dahinter folgen noch viele mehr.

 

[tomasini]

Eines der obersten Prinzipien in Hinblick auf die Systemsicherheit ist, seine Software immer auf dem aktuellen Stand zu halten. Warum? Weil Software von Menschen geschrieben wird und Menschen machen halt auch Fehler. Programmierfehler können Sicherheitslücken darstellen. Das fängt schon beim verwendeten Betriebssystem an.

Im konkreten Fall ist dein Apache nicht auf dem aktuellen Stand. Ob die neueren Versionen reine Feature-Updates waren oder ob dort auch Sicherheitslücken geschlossen wurden, kann ich nicht beurteilen, da ich den Apache selbst nicht verwende. Ein Update ist aber ratsam bzw. du solltest dich zumindest einmal darüber informieren, was der Unterschied zwischen der von dir eingesetzten und der aktuellen Version ist.

Zu XST. Da geht es primär darum, die Nutzer deiner Website(s) zu schützen. Per XST ist es z.B. möglich, Benutzerdaten (Username, Passwort,...) abzufangen bzw. Sessions zu übernehmen. Um sich davor zu schützen, sollte man das einfach deaktivieren. Beim Apache sollte das mit einem EnableTrace = off via Config gehen. Beim Apache ist das standardmäßig aktiv.