Hallo, Am 19.06.2013 01:35, schrieb Andreas Becker: > wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der > Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort > einen neuen User angelegt hat und mit diesem eiloggte ins Backend
- Es ist ziemlich selten dass die DB komplett von außen erreichbar ist. Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem. - Wie kommt man zu den Credentials der DB? Das geht nur über eine File Disclosure, dh es braucht schon mind 2 Lücken. > Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS oder > simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit > einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und > man kann Extensions installieren mit denen man u.a. auch die Configurations > Dateien editieren kann "from within TYPO3!" etc.. ist das jetzt noch aus eigener Erfahrung? SCNR > Sicherheitsluecken werden dabei evtl. auch schon vor einer > veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org > ausgenutzt. Natürlich. Ist ja nicht so als ob die "Bösen" nicht miteinander kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt. Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das nur heißt dass man Betreiber noch länger davon nichts weiß. aber wir sind nicht mehr beim initialen Thema Georg _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
