Directory Listings sind nicht schรคdlich

von

In meiner aktuellen Reihe „๐˜š๐˜ช๐˜ค๐˜ฉ๐˜ฆ๐˜ณ๐˜ฉ๐˜ฆ๐˜ช๐˜ต๐˜ด๐˜ญ๐˜ถฬˆ๐˜ค๐˜ฌ๐˜ฆ๐˜ฏ ๐˜ด๐˜ค๐˜ฉ๐˜ฏ๐˜ฆ๐˜ญ๐˜ญ ๐˜จ๐˜ฆ๐˜ด๐˜ต๐˜ฐ๐˜ฑ๐˜ง๐˜ต“ war ich erst am รผberlegen ob ich รผberhaupt erwรคhnen sollte, dass man ๐——๐—ถ๐—ฟ๐—ฒ๐—ฐ๐˜๐—ผ๐—ฟ๐˜† ๐—Ÿ๐—ถ๐˜€๐˜๐—ถ๐—ป๐—ด๐˜€ ๐˜€๐—ฝ๐—ฒ๐—ฟ๐—ฟ๐—ฒ๐—ป ๐—ธ๐—ฎ๐—ป๐—ป, weil der Impact nicht so groรŸ ist. Soweit so gut, da habe ich mich wohl geirrt. Aber Eins nach dem Anderen:

๐—˜๐—ฟ๐˜€๐˜๐—บ๐—ฎ๐—น ๐—ต๐—ฒ๐—ฟ๐—ฎ๐˜‚๐˜€๐—ณ๐—ถ๐—ป๐—ฑ๐—ฒ๐—ป ๐—ผ๐—ฏ ๐—ฑ๐—ฎ๐˜€ ๐——๐—ถ๐—ฟ๐—ฒ๐—ฐ๐˜๐—ผ๐—ฟ๐˜† ๐—Ÿ๐—ถ๐˜€๐˜๐—ถ๐—ป๐—ด ๐—ฎ๐—ธ๐˜๐—ถ๐˜ƒ ๐—ถ๐˜€๐˜

Zum Glรผck lรคsst sich das total einfach prรผfen. Gebt doch einfach in der URL fรผr Eure Domain am Ende einfach mal /wp-includes/ ein. Wenn eine weiรŸe Seite ohne Inhalt, ein 404-Fehler oder ein 500er Server Error dabei rauskommt, kein Grund zur Sorge. Das Directory Listing ist allem Anschein nach nicht aktiv.

Sollte jedoch eine Baumstruktur wie damals beim Norton Commander (Oh mein Gott, bin ich alt) erscheinen, wรคre ich, wenn ich Du wรคre ein kleines bisschen beunruhigt.

๐—ฉ๐—ฒ๐—ฟ๐˜€๐˜‚๐—ฐ๐—ต ๐—ฑ๐—ผ๐—ฐ๐—ต ๐—บ๐—ฎ๐—น /๐˜„๐—ฝ-๐—ฐ๐—ผ๐—ป๐˜๐—ฒ๐—ป๐˜/๐˜‚๐—ฝ๐—น๐—ผ๐—ฎ๐—ฑ๐˜€/ ๐—ฎ๐˜‚๐˜€

Sollte das Directory Listing bei dir aktiv sein, gib in deiner URL doch mal den o.G. Pfad ein. Du wirst feststellen, dass der Browser brav alles auflistet was du da so bei deinen Uploads hast. In dieser Struktur wird wirklich alles aufgelistet, was du jemals hochgeladen hast. Auch die Sachen, die man im Frontend gar nicht sehen kann oder soll.

๐—ช๐—ถ๐—ฒ ๐˜€๐—ฝ๐—ฒ๐—ฟ๐—ฟ๐˜ ๐—บ๐—ฎ๐—ป ๐—ฑ๐—ฎ๐˜€ ๐——๐—ถ๐—ฟ๐—ฒ๐—ฐ๐˜๐—ผ๐—ฟ๐˜† ๐—Ÿ๐—ถ๐˜€๐˜๐—ถ๐—ป๐—ด?

Nu kommts: Ganz einfach mit einem Einzeiler. Folgenden Schnipsel fรผgst du bitte ans Ende deiner .htaccess Datei:

Options All -Indexes

und das wars.

๐——๐—ฎ๐˜€ ๐——๐—ถ๐—ฐ๐—ธ๐—ฒ ๐—˜๐—ป๐—ฑ๐—ฒ ๐—ธ๐—ผ๐—บ๐—บ๐˜ ๐˜‡๐˜‚๐—บ ๐—ฆ๐—ฐ๐—ต๐—น๐˜‚๐˜€๐˜€:

Als ich also so mit den Google Operatoren herumspielte um Seiten zu finden, die diese Schwachstelle haben (nein ich verrate nicht was ich gesucht habe) fiel mir eine Seite ins Auge.

Und theoretisch kรถnnte ich geschaut haben ob der Upload Ordner erreichbar war. Auch nur rein theoretisch befand sich in dem Upload Ordner ein Bild mit dem Namen adminaccess.jpg.

Und es wรคhre mehr als Spekulation, wenn ich versucht hรคtte, die Daten die dort gestanden haben in die Loginmaske einzugeben. Wie hoch wรคre wohl die Wahrscheinlichkeit, dass ich nach der Eingabe in einem WordPress System gesteckt habe?

Nunja jedenfalls hรคtte ich, wenn es so gewesen wรคre jeden Falls alles brav wieder geschlossen und dem Administrator der Seite den Hinweis geschickt dieses Bild zum Einen zu lรถschen und zum Anderen das Listing zu deaktivieren.

2025 benjamin-mylius.de
Impressum | Datenschutz | Kontakt