Zum Umgang mit Sicherheitslücken bei Webanwendungen mittels .htaccess

12. August 2010 | Rubrik: HTML PHP MySQL etc., Vtiger CRM | Tags: | 57 mal gelesen

In einem aktuellen Projekt habe ich zum ersten Mal den Fall einer “gehackten” Webanwendung kennen gelernt. Dem Angreifer ist es dabei gelungen, eine eigene .htaccess-Datei anzulegen oder in eine vorhandene .htaccess-Datei zu schreiben und vorhandenen Javascript-Code zu modifizieren. Die Folge war, beim Seitenaufruf bzw. beim Aufruf bestimmter Javascript-Befehle stets zu einer bestimmten Webadresse umgeleitet zu werden. Die Datenbanken wurden nicht in Mitleidenschaft gezogen. Da die Tabellen und Daten der Datenbanken intakt sind, man aber bei der “Reinigung” des Quellcodes der Scriptdateien eventuell das ein oder andere übersehen hätte, hat man sich nun dafür entschieden, eine Neuinstallation der Anwendungen von Originaldateien vorzunehmen. Interessant ist nun die Frage, wie man solchen Angriffen in Zukunft vorbeugen kann. Im folgenden hierzu meine Notizen. mehr »

57 mal gelesen | Keine Kommentare »

Zur Sicherheit des Betriebs von vtiger CRM im Internet

30. März 2010 | Rubrik: Blog, Vtiger CRM | Tags: , , , | 907 mal gelesen

Informationen in Customer-Relationship-Management-Datenbanken (CRM) zählen zu den sensibelsten Daten von allen. Unter anderem umfassen sie Adressen, Gesprächsnotizen, persönliche Anmerkungen, Angebote, Forderungen und Umsatzzahlen. Ein CRM wie vtiger stellt zudem weitreichende Möglichkeiten des Versands von Einzel- und Serienemails zur Verfügung, deren Missbrauch unangenehm sein könnte. Vor allem deshalb empfehlen Kritiker, ein CRM wie vtiger „unbedingt nur intern und nie direkt im Internet “ zu betreiben, um das Risiko unberechtigten Zugriffs so gering wie möglich zu halten. Es scheint aber so zu sein, dass man das „durchaus tun“ könne, sofern man „die notwendigen Vorkehrungen zum Schutzseiner Verbindung vornimmt“, also „mindestens SSL“ und „htaccess etc.“ einrichtet. mehr »

907 mal gelesen | 3 Kommentare »