SERVER SICHERHEITSLÜCKE XLS PASSWORTLISTEN

HIERBEI HANDELT ES SICH UM EINEN ARTIKEL, DESSEN ZWECK ES IST ZU ZEIGEN WIE GROSS DIE SICHERHEITSLÜCKE XLS DATEIEN SIND UND WIE MAN SIE EVTL. SCHLIESSEN KANN!

BITTE BEACHTEN SIE AUCH DAS KKTVCAM DIE HIER GEZEIGTE SICHERHEITSLÜCKE AUSSCHLIESSLICH AUF SERVERN GETESTET HAT, VON DEREN ICH DIE EINWILLIGUNG DAZU ERHALTEN HABE!

DAS NACHMACHEN IST VERBOTEN UND KANN MIT EINER GELD ODER FREIHEITSSTRAFE BESTRAFT WERDEN!

Viele Website verfügen über XLS, auf die nicht alle Personen Zugriff haben sollen (bsp. Passwortlisten)

Heute möchte ich dir deshalb eine Sicherheitslücke mit XLS Dateien zeigen und dann, werde ich dir zeigen wie du solche Dateien auf deinem Server schützen kannst!

In diesen Dateien werden Passwörter sowie andere Kundendaten gespeichert.

Doch es gibt eine Sicherheitslücke, welche Dritten den Zugriff auf tausende Passwörter ermöglicht!

SO EINFACH IST ES AN DIE PASSWÖRTER ZU KOMMEN:

Gibt man bei Google den folgenden Suchbegriff ein, werden einem tausende Links zu solchen XLS Dateien angezeigt.

 SUCHBEGRIFF: https intext:login | logon intext:password | passcode filetype:xls | filetype:xls

Drückt man nun auf einen der Links, wird die Datei direkt heruntergeladen.

Eine Datei kann mehrere tausend Passwörter enthalten!

Unter den gelisteten Website befinden sich auch Website von einigen sehr grossen Domain-Regisern, sowie einige US Regierungs-Webseiten.

PS: Schau dir doch mal das Video dazu an, es befindet sich unterhalb von diesem Artikel!

WARUM DIE SICHERHEITSLÜCKE EXISTIERT UND WIE DU SIE SCHLIESSEN KANNST:

Ich gehe davon aus, dass solche Seiten aufgrund von einem Problem mit dem Robots.txt angezeigt wird, entweder ist die Seite dort nicht angegeben oder falsch angegeben!

Falls deine Passwortliste auch bei Google angezeigt wird, kannst du sie in der Google Search Console entfernen lassen.

WEITERE TIPPS MIT DENEN DU DATEIEN AUF DEINEM SERVER SCHÜTZEN KANNST:

1.Der Ursprungs-Link der Datei sollte nicht im Quellcode des Login Systems gefunden werden, sondern nur ein Link welcher auf den Ursprungs-Link der Datei verlinkt.

2.Setze vor den Link der Datei (im Quellcode des Login-Systems) ein <a nonfollow="Datei.xls">.

3.Schütze die Datei mit einer .htacces Datei.

4.Trage die Seite in die Robots.txt Liste ein!

5.Speichere die Daten in einem anderen Format ab, das Passwort sollte zum Beispiel bei Benutzername stehen. Dies kann Dritte verwirren.

Weitere Tipps, mit denen du deine Seite schützen kannst, findest du hier.

Wenn du eine Frage hast oder wenn du Hilfe benötigst, besuche doch den Support Chat oder schreibe mir mithilfe des Kontaktformulars (ganz unten auf dieser Seite!)

 


Zuletzt Aktualisiert: 25.8.2016 20:06:57


LCMmedia

KONTAKT

Bitte den Code eingeben:

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Made with ♥ in Bern (Switzerland)!