Ich bin ja ein wenig interessiert wenn es um Security-Dinge geht. Auf Grund dessen betrachte ich Anwendungen, Webapplikationen oder technische Umgebungen generell eher aus der Sicht eines Angreifers als aus Sicht der User. Die Tage hatte ich wieder die Moeglichkeit mir eine Webanwendung anzuschauen, die im uebrigen aktuell auch einem Pentest unterzogen wird.
Die Anwendung ist wirklich ueberschaubar und klein. Man kann sich als User anmelden, einen, ich sage mal, Vorgang erstellen und dort Dinge dokumentieren oder auch Dokumente hochladen. Ich habe ein paar Minuten rumgespielt, als mir die URL der hochgeladenen Dokumente aufgefallen war. Die URL sah in etwa so aus: https://www.tolleanwendunghier.de/dateien/dateiname.pdf?
Ich habe mich dann mal, ueber einen anderen Internetzugang, mit einem anderen User an der Anwendung angemeldet, die URL angegeben und pfff, konnte ich auf das Dokument zugreifen. Naja, mag man vielleicht einwenden, da ist eine kleine Luecke, aber man muesste doch zumindest den Dateinamen kennen. Jein. Zum einen ist es so, dass die Dateien nach dem hochladen einfach eine Nummer aus einer fortlaufenden Reihe erhalten. Zum anderen ist auch die Angabe des Dateisuffix egal. Ob ich nun $URL/56.pdf? oder $URL/56.abc? eingebe ist einerlei. Mit einem kurzen Script ist es also moegliche *alle* Dateien vom Server abzuziehen. Das ist vor allem deshalb kritisch, da innerhalb der Anwendung auch sensitive Daten abgelegt werden sollen. Ich bin sicher der Pentest wird spaeter auch auf diesen Fehler hinweisen und man wird die Luecke erst mal fixen muessen, bevor man in Produktion geht.
Leider hatte ich nicht mehr Zeit, sonst haette ich noch ein wenig rumgespielt.
Einer der Gruende Firefox als Browser zu nutzen ist die Erweiterbarkeit durch Addons. Neben Addons, die die taegliche Nutzung des Internets erleichtern, gibt es auch diejenigen, die bei der Suche nach Problemen, Bugs oder auch Sicherheitsluecken helfen.