RSS Facebook Google+ Twitter

Joomla-Bugs

Neuigkeiten: Aktuelle Joomla!-Version: 3.9.0
Willkommen Gast. Bitte einloggen oder registrieren.

Autor Thema: XAMPP for Windows Multiple Cross Site Scripting and SQL Injection Vulnerabilitie  (Gelesen 13438 mal)


Offline zero24

  • Global Moderator
    • Joomla! als Hobby
LOL für einen localen Server ....

Deshalb wird das default htdocs Verzeichnis auch bei mir gelöscht/umbenannt.
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Deshalb wird das default htdocs Verzeichnis auch bei mir gelöscht/umbenannt.

Das musst du jetzt aber mal näher erklären, was genau du da machst.

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Zitat
Das musst du jetzt aber mal näher erklären, was genau du da machst.
hmm wie meinst du das jetzt?
Ich öffne den xampp Ordner und benenne den htdocs Ordner um (z.B. htdocs_alt) oder lösche ihn.
Anschließend erstelle ich einen neuen sauberern Ordner den ich htdocs nenne.
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

ja, das wäre jetzt meine erste Frage gewesen (wie du ohne Ordner htdocs auskommst, bzw. wo du den Pfad umschreibst. Denn diese nicht unerhebliche Info sollte man gleich mitliefern, bevor irgendwer, der das liest, das nachmacht und sich sein Xamppp zerschießt) Diese Frage hast du soeben beantwortet.

Zweitens: Was genau bringt dein Vorgehen?

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Zitat
Zweitens: Was genau bringt dein Vorgehen?
Alle betroffenen Dateien die oben genannt werden befinden sich in dem Ordner (htdocs/xampp) wenn ich diesesen lösche (demnach auch die Dateien im Ordner selber) besteht kein Problem mehr.
Außerdem setze ich xampp nur in den allerseltensten Fällen bei aktiverter Internet Verbindung ein.
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Und wozu sind die Dateien im htdocs? Einfach so? Müll? Kann gelöscht werden? Wundert mich jetzt.

Da wirst du einer der wenigen sein, die ohne Inet-Verbindung Xampp betreiben. Die meisten sind immer online. Daher sollte man Xampp auch mit Username und Passwort schützen.

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Zitat
Und wozu sind die Dateien im htdocs? Einfach so? Müll? Kann gelöscht werden? Wundert mich jetzt.
geh mal auf localhost/xampp (Vorrausgesetzt Ordner ist nicht gelöscht)
Dann siehst du wozu das gut ist was da drin ist.
Die Ordner umbenennen Methode lässt einen dann auch die Dateien wieder holen falls sie gebraucht werden sollten. (bis jetzt nie gebraucht im Bezug auf Joomla)
Zitat
Die meisten sind immer online. Daher sollte man Xampp auch mit Username und Passwort schützen.
Stimmt und ist als zusätzlicher Schutz auch passiert.
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

geh mal auf localhost/xampp (Vorrausgesetzt Ordner ist nicht gelöscht)
Dann siehst du wozu das gut ist was da drin ist.
Die Ordner umbenennen Methode lässt einen dann auch die Dateien wieder holen falls sie gebraucht werden sollten. (bis jetzt nie gebraucht im Bezug auf Joomla)
Nö, ich frage ja dich. Wie kommst du darauf, dass man diese Dateien einfach so löschen (bzw. temporär deaktivieren) kann?

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Zitat
Nö, ich frage ja dich. Wie kommst du darauf, dass man diese Dateien einfach so löschen (bzw. temporär deaktivieren) kann?
Da ich sie nicht brauche oder vermisse?
Wie sieht den dein htdocs Ordner (bzw. dein Server Root) bei Hoster aus? Also ich habe da höchstens eine index.html drinne (wenn es ein neuer Server ist) und du?
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

[gelöscht, war ein Denkfehler von mir]

Hier steht zum Beispiel, dass man auch die httpd.conf abändern sollte, wenn man den Ordner forbidden löscht:

http://robsnotebook.com/xampp-forbidden

Und hier ein Tut, welche Ordner man löschen kann, bzw. den Zugang dazu verweigern:
http://robsnotebook.com/xampp-remove-folders-deny-access


Ich habe bislang Xampp immer im O-Modus betrieben. Werde ich mir jetzt mal genau ansehen, wieso das für eine lokale Installation Sinn macht.
« Letzte Änderung: 31.10.2013, 09:45:37 von La Geek »

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Zitat
1. Antwort/Frage (Rest kommt irgendwann später):
Wo werden deine Passwörter gespeichert, nachdem du das Verzeichnis htdocs neu erstellt hast?
Welche Passwörter?
Das Passwort vom xampp Verzeichnis ist hinfällig (bzw. wird mit verschoben) da dieser Ordner nicht mehr existiert (aufrufbar ist).
Die Passwörter von phpmyadmin wird (soweit ich das verstanden habe) irgendwo in einer Datenbank Tabelle hinterlegt.
Zitat
(Rest kommt irgendwann später):
Mach doch einfach den selbsttest auf einer Test installation ;) Installier dir ein neues xampp und benenne den htdocs Ordner in htdocs_old um. Anschließend erstellst du dir einen eigenen neuen htdocs Ordner (am selben Platz). Darin erstellst du dann einen weiteren Ordner welche z.B. deine Joomla/WP installation enthält. Und testest bis du einen Fehler (nicht im CMS :P sondern in xampp) findest. :)
 
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Das mit den Passwörtern war ein Denkfehler, die werden in einem anderen Ordner außerhalb der htdocs abgelegt. Ich habe meinen Beitrag oben editiert, lies mal.

Es geht ja nicht um einen Selbstversuch, sondern um den Sinn des Ganzen (aber s.o.)
« Letzte Änderung: 31.10.2013, 09:53:58 von La Geek »

So, jetzt bin ich einigermaßen durch damit. Es ist doch so, wie ich eingänglich dachte. Ich zitiere dazu mal Apache Friends:

Zitat
Wie schon an anderer Stelle erwähnt, ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Entwickler in Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht sehr restriktiv, sondern im Gegenteil relativ offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so wenig Grenzen vom System vorgeschrieben bekommt. Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet.
 Hier eine Liste der Dinge, die an XAMPP absichtlich(!) unsicher sind:
 
  • Der MySQL-Administrator (root) hat kein Passwort.
  • Der MySQL-Server ist übers Netzwerk erreichbar.
  • phpMyAdmin ist übers Netzwerk erreichbar.
  • Das XAMPP Verzeichnis ist nicht geschützt.
  • Bekannte Beispiel-Benutzer bei FileZilla FTP und dem Mercury Mail Server.
  Alle diese aufgeführten Punkte können zu schwerwiegenden Sicherheitsproblemen führen, wenn der betreffende Rechner schutzlos, und damit für jede außen stehende Person zugänglich, im Internet agiert. Es ist somit jedem selbst überlassen diese Lücken bei Bedarf zu schließen. In vielen Fällen reicht hierzu eine Firewall oder einfach eine Internetverbindung über einen externen (NAT-) Router aus. In beiden Fällen ist der Rechner in der Regel nicht von außen erreichbar. Eine erste Hilfe bietet auch die "XAMPP Sicherheitskonsole".
 Wer den XAMPP in einem Netzwerk betreiben möchte, so dass der XAMPP-Server auch von anderen erreichbar ist, sollte unbedingt die folgende URL aufrufen um die gröbsten Sicherheitsprobleme zu beheben:
  http://localhost/security/

Soll heißen:
Wenn der Hacker erst mal von außen Zugriff auf deinen Rechner hat, ist eh alles verloren. Der kommt an deine Passwörter etc. Daher ist ein Löschen der htdocs auch ziemlich sinnfrei. Eigentlich auch das Einrichten unter http://localhost/security

 

BloQcs design by Bloc
| SMF © 2011, Simple Machines
Joomla-Bugs.de is not affiliated with or endorsed by The Joomla! Project™. Use of the Joomla!® name, symbol, logo and related trademarks is permitted under a limited license granted by Open Source Matters, Inc.