Adminzugang - öffentlich erreichbar - Sicherheitsleck?

[DC2014]

Bei einem Modified Shop

modified eCommerce Shopssoftware v2.0.4.2 rev 11374 dated: 2018-07-23
Datenbank Version: "MOD_2.0.4.2"

hatte ein User direkten Zugriff auf den Adminbereich. Den Zugriff hat er entsprechend durch Screenshots dokumentiert.

Der Adminbereich ist Passwort geschützt. Ich glaube auch nicht, dass der User das Passwort zufällig erraten hat. Als er den Shop besucht hat, war der Adminbereich offen.

Linkback: https://www.modified-shop.org/forum/index.php?topic=40681.0

[Timm]

Moin

Link an den Kunden mit angehängter MODsid eines Admins verschickt? Oder irgendwo gepostet?

Gruß Timm

EDIT: Geprüft, ob der Kunde zufällig in die Kundengruppe Admin verschoben wurde?

[online-beobachter]

Das wird es mit Sicherheit gewesen sein, ich kann nur empfehlen den Ordner Admin zusätzlich mit einem Passwortschutz zu versehen. Man kann noch so auf der hut sein, irgendwann passiert sowas im eifer des gefechts mal...

[Timm]

Wie kann man einen Passwortschutz für den Adminordner einrichten?

[online-beobachter]

Am einfachsten im Adminbereich bei Deinem Hoster erstellbar, nennt sich dort auch Verzeichnischutz einrichten oder ähnlich.
Dort wählt man dann einfach den Order "Admin" aus und vergibt ein Passwort.

[harrygrey]

Ich habe einen "stark modifizierten" XTC mit eigenem WWS. Dort ist der Bug bereits aufgetaucht und bislang nicht beseitigt. Es läßt sich leider auch keine Regelmäßigkeit erkennen. Statistisch erscheint es bei einem Gastzugang zu passieren --- aber eben nicht immer. Aber der damit erzeugte Admin hat keine Rechte. Trotzdem würde ich zustimmen, daß man einen Verzeichnisschutz anlegt. Gute Idee!

[DC2014]

Danke für Eure Kommentare. Habe einen Verzeichnisschutz für den Admin-Bereich angelegt und alle Passwörter neu vergeben.

[Tante Uschi]

Jetzt muss ich mal blöde fragen, was genau macht der Eintrag "groups" in der Datenbank, Tabelle admin_access und könnte das etwas damit zu tun haben? Habe nix gefunden mit Suchen, was mir diesen Eintrag erklärt und hab keine Ahnung was dieser bewirkt bzw. für was er da ist?

Kann mir das jemand netter Weise Erklärbären

[HHGAG]

hatte ein User direkten Zugriff auf den Adminbereich. Den Zugriff hat er entsprechend durch Screenshots dokumentiert.

Der Adminbereich ist Passwort geschützt. Ich glaube auch nicht, dass der User das Passwort zufällig erraten hat.  Als er den Shop besucht hat, war der Adminbereich offen.

Siehe u.a.:

• Frage zum Session Bug in xt:Commerce
• Kritische Sicherheitslücke in allen Modified Versionen

[p3e]

Auf die wichtige Frage von Timm:

Link an den Kunden mit angehängter modsid eines Admins verschickt? Oder irgendwo gepostet?

ist DC2014 leider gar nicht eingegangen. Ich denke aber, dass es wichtig ist, dass JEDEM Shopbetreiber klar ist, dass er keine Links mit Session-ID verschicken darf.
Man sollte sicherheithalber in der Serienbrieffunktion, in der Kommentarfunktion bei Bestellbestätigung und bei der shopinternen Mailfunktion im Kundenbereich eventuelle Session-IDs ausfiltern.

Also nochmal an DC2014: hast Du dem Kunden einen Link zum Shop geschickt?

[webald]

Das ist der Shop von harrygrey? Ich behaupte mal, da werden (Code-)Dateien aus dem Adminbereich versucht im Frontend zu nutzen. Da ist einiges komisch gemacht. u. a. auskommentieren des Backlinks.....

[Tante Uschi]

Ich habe mir jetzt mal die von HHGAG verlinkten Seiten durchgelesen und da wird empfohlen den Browser für den Admin auch wirklich nur dafür zu nutzen, ich denke dabei an den Referer und würde empfehlen ein entsprechendes Addon für den Browser zu laden nämlich Referrer Control, das sollte doch zumindest schon mal die Übermittlung durch den Browser verhindern oder sehe ich das falsch?

Siehe:

https://www.itsec-tools.de/browser/firefox/referrer-control-von-welcher-seite-komme-ich/

[p3e]

Das siehst du falsch. Der Referrer gibt an, von welcher Seite aus du gekommen bist. Der Referrer wird Dir zB. auch auf der who is online angezeigt. Da man wie Du jetzt weißt, dass man den Referrer manipulieren kann, ist er mit Vorsicht zu genießen. Man sollte nicht unbedarft die Referrer Links in dem Browser eingeben, da die ja auch verfälscht und den Admin auf eine bestimmte Seite locken können. Die Referrer Links also nur als Info ansehen.

Sinnvoll sind ein eigener Browser, ein htaccess Passwort für das Adminverzeichnis und keine Links mit Session-ID weitergeben.

[Tante Uschi]

Hallo p3e,
da haben wir wohl aneinander vorbei geredet, oder ich hab mich falsch ausgedrückt, der Hintergrundgedanke den Browser nur dafür zu benutzen ist doch letztlich einzig der Referrer, welcher auf fremden Seiten die Session-ID des Amin weitergibt, bzw. anzeigt und genau dies verhindert doch aber ein Referrer-Controler, das meinte ich, wenn ich also ganz normal den Browser nutze jedoch durch ein entsprechendes Addon meine Adresse nicht geliefert wird, sollte dies doch völlig reichen, ich frage deshalb, weil nicht immer jedem Mitarbeiter der mal was im Admin macht zuzutrauen ist, das Ganze so akribisch einzuhalten?

Ein extra Passwortschutz ist natürlich wirklich sinnvoll.

ABER, Dein Hinweis mit den Links in der who is online ist richtig goldwert, daran habe ich überhaupt nicht gedacht, dass dies eine gewollte "Falle" sein kann, muss man auch erstmal drauf kommen.

Gruß

[Timm]

Wie läuft das mit dem Admin Passwortschutz dann? Muss man das Passwort bei jedem Wechsel ins Backend eingeben, oder wird das auch im Browser gespeichert?

@p3e
Hast du bereits eine Lösung, wie Session ids gefiltert werden bei shopmails falls ein Mitarbeiter solch einen Link in das Kommentarfeld kopiert?

Mich betrifft das noch nicht, weil ich noch selbst arbeiten muss

Was ich aber gesehen hab in den aktuellen Browsern ist, dass es gar nicht mehr möglich ist einen Link mit angehängter Modsid zu sehen nach dem Login und zu kopieren. Die Modsid erscheint nur kurz und wenn die Seite aufgebaut ist, dann ist sie weg.

Aber ist schon erschreckend wenn man mal die Modsid ausliest mit der Konsole und diese dann in einem anderen Browser uneingeloggt an die shopdomain mittels /?modsid=  anhängt, dass jeder dann im adminbereich wäre. Also nie in einem Link die Modsid des Admin anhängen.

Und immer ausloggen, damit die Session id ungültig wird!

Gruß Timm