Hackversuche frühzeitig erkennen - offene Diskussion
Verfasst: Do 16. Jul 2015, 13:04
Jeder der eine Contenido-Installation am Start hat, und gelegentlich die Logs inspiziert, stößt sicherlich auf Versuche ins System einzudringen.
Die Idee hinter diesem Thread ist es, potenzielle Sicherheitslücken frühzeitig zu Erkennen, damit Patches und Bugfixes schneller einfließen können.
Aktuell bin ich auf folgende Einträge in der security.txt aufmerksam geworden:
Frage:
Was soll mit den jeweils übergebenen Parametern bezweckt werden (SQL-Injection?) ?
Und welche Contenido-Versionen wären potenziell anfällig dafür?
BTW: Eine Idee die mir gerade beim schreiben kommt: Wäre doch ein cooles Feature, wenn man als Admin in den Logs IP's an eine Zentrale Liste (nur für Contenido-User) melden könnte. Treffen in dieser Liste mehr als 10 Einträge mit dieser IP ein, wird Sie allen anderen Contenido-Installationen als zu sperrende IP vorgeschlagen. Der Redakteur kann dann - je nach Einstellung - diese IP's automatisch, oder durch manuelle Freigabe für sein Contenido sperren lassen.
Das würde Contenido sicherlich in Sachen Sicherheit für neue und bestehende User attraktiv(er) machen?!
Die Idee hinter diesem Thread ist es, potenzielle Sicherheitslücken frühzeitig zu Erkennen, damit Patches und Bugfixes schneller einfließen können.
Aktuell bin ich auf folgende Einträge in der security.txt aufmerksam geworden:
Code: Alles auswählen
)
2015-07-04 20:54:38 78.183.150.137
Query String: idart=-1%27&changelang=3
Bad parameter: idart
POST array: Array
(
)
2015-07-04 20:54:38 78.183.150.137
Query String: idart=466&changelang=-1%27
Bad parameter: changelang
POST array: Array
(
)
2015-07-06 00:36:06 88.68.80.61
Query String: page=3'A=0
Bad parameter: page
POST array: Array
(
)
2015-07-06 17:08:40 62.133.162.226
Query String: idart=464'A=0&changelang=5
Bad parameter: idart
POST array: Array
(
)
2015-07-06 17:08:41 62.133.162.226
Query String: idart=464&changelang=5'A=0
Bad parameter: changelang
POST array: Array
(
)
2015-07-07 00:45:30 178.35.222.51
Query String: idart=272'A=0&changelang=4
Bad parameter: idart
POST array: Array
(
)
2015-07-07 00:45:31 178.35.222.51
Query String: idart=272&changelang=4'A=0
Bad parameter: changelang
POST array: Array
(
)
2015-07-08 13:03:35 195.155.209.8
Query String: lang=en
Bad parameter: lang
POST array: Array
(
)
2015-07-10 14:59:16 58.62.234.179
Query String: page=Register
Bad parameter: page
POST array: Array
(
)
2015-07-13 11:20:52 83.166.235.133
Query String: idart=283'A=0&changelang=3
Bad parameter: idart
POST array: Array
(
)
2015-07-13 11:20:53 83.166.235.133
Query String: idart=283&changelang=3'A=0
Bad parameter: changelang
POST array: Array
(
)
2015-07-13 12:10:56 83.166.235.133
Query String: idart=283'A=0&changelang=3
Bad parameter: idart
POST array: Array
(
)
2015-07-13 12:10:56 83.166.235.133
Query String: idart=283&changelang=3'A=0
Bad parameter: changelang
POST array: Array
(
)
2015-07-13 22:49:01 180.241.8.28
Query String: idart='326&changelang='5
Bad parameter: idart
POST array: Array
(
)
Was soll mit den jeweils übergebenen Parametern bezweckt werden (SQL-Injection?) ?
Und welche Contenido-Versionen wären potenziell anfällig dafür?
BTW: Eine Idee die mir gerade beim schreiben kommt: Wäre doch ein cooles Feature, wenn man als Admin in den Logs IP's an eine Zentrale Liste (nur für Contenido-User) melden könnte. Treffen in dieser Liste mehr als 10 Einträge mit dieser IP ein, wird Sie allen anderen Contenido-Installationen als zu sperrende IP vorgeschlagen. Der Redakteur kann dann - je nach Einstellung - diese IP's automatisch, oder durch manuelle Freigabe für sein Contenido sperren lassen.
Das würde Contenido sicherlich in Sachen Sicherheit für neue und bestehende User attraktiv(er) machen?!
.