Sicherheit bei Webprojekten
Kürzlich bekamen wir einen Anruf eines Kunden der uns auf ein Problem aufmerksam machte. In der Rechteverwaltung des dort eingesetzten CMS konnten nicht öffentliche Seiteninhalte über die interne Webseitensuche gefunden werden. Leider waren dieses Informationen, wie Geburtsdatum und komplette Adressen der dortigen Mitarbeiter. Nach Überprüfung der Quellcodes musste ich feststellen, dass eine derartige Abfrage in den Suchergebnissen noch garnicht vorgesehen war. Der Einbau der Abfrage war an sich kein Problem und war schnell zu lösen. Viel verwunderlicher war, dass nach weiterer Kontrolle der Daten auf dem Webspace ein Ordner mit dem Namen phpmyadmin zu finden war. Mit erstaunen musste ich feststellen, dass dieser direkt und ohne Zugangsdaten erreichbar war. Dieses sind für mich Sicherheitsstandards nach höchstem Maß.
Tipp: Bitte vor Veröffentlichung der Webseite kritische Schwachstellen prüfen!
Letzte Kommentare