From timo_kessler at gmx.de Sun Jan 4 13:54:32 2015 From: timo_kessler at gmx.de (=?UTF-8?B?VGltbyBLZcOfbGVy?=) Date: Sun, 04 Jan 2015 14:54:32 +0100 Subject: [Codeforde-cert] Pentest unserer webapp auf brandt Message-ID: <54A94618.7090304@gmx.de> Hallo zusammen, ich habe auf dem 31C3 einen Pentester kennengelernt, der mir angeboten hat unsere webapp auf hamburg.codefor.de mal bez?glich security abzuklopfen. Ich w?rde das sehr gerne machen, allerdings nicht ohne euren Segen/Einverst?ndnis. Vom Umfang her w?re das unser VHOST hamburg.codefor.de: mit einer Webapp mit einem API-Endpoint, der zu MongoDB durchreicht, was afaik auch nur wir verwenden. Wir w?rden das dann ggf direkt nach einem regul?ren Backup starten, damit im Falle des Falles kein Schaden entsteht. Bitte um R?ckmeldung insbesondere von den zentraleren Admins. Danke, sch?nen Sonntag noch und LG Timo From mail at jochenklar.de Mon Jan 5 18:02:22 2015 From: mail at jochenklar.de (Jochen Klar) Date: Mon, 05 Jan 2015 19:02:22 +0100 Subject: [Codeforde-cert] Pentest unserer webapp auf brandt In-Reply-To: <54A94618.7090304@gmx.de> References: <54A94618.7090304@gmx.de> Message-ID: <54AAD1AE.2010405@jochenklar.de> On 04/01/15 14:54, Timo Ke?ler wrote: > Hallo zusammen, > > ich habe auf dem 31C3 einen Pentester kennengelernt, der mir angeboten > hat unsere webapp auf hamburg.codefor.de mal bez?glich security abzuklopfen. > > Ich w?rde das sehr gerne machen, allerdings nicht ohne euren > Segen/Einverst?ndnis. > > Vom Umfang her w?re das unser VHOST hamburg.codefor.de: > mit einer Webapp > mit einem API-Endpoint, > der zu MongoDB durchreicht, > was afaik auch nur wir verwenden. > > Wir w?rden das dann ggf direkt nach einem regul?ren Backup starten, > damit im Falle des Falles kein Schaden entsteht. > > Bitte um R?ckmeldung insbesondere von den zentraleren Admins. > > Danke, sch?nen Sonntag noch und LG > > Timo > Hallo Timo, besteht da eine Gefahr f?r die anderen Webseiten und Services die auf brandt laufen? Das w?re dann ja nicht so sch?n. cheers, Jochen From timo_kessler at gmx.de Mon Jan 5 21:23:16 2015 From: timo_kessler at gmx.de (=?UTF-8?B?VGltbyBLZcOfbGVy?=) Date: Mon, 05 Jan 2015 22:23:16 +0100 Subject: [Codeforde-cert] Pentest unserer webapp auf brandt In-Reply-To: <54AAD1AE.2010405@jochenklar.de> References: <54A94618.7090304@gmx.de> <54AAD1AE.2010405@jochenklar.de> Message-ID: <54AB00C4.10106@gmx.de> Am 05.01.2015 um 19:02 schrieb Jochen Klar: > On 04/01/15 14:54, Timo Ke?ler wrote: >> Hallo zusammen, >> >> ich habe auf dem 31C3 einen Pentester kennengelernt, der mir angeboten >> hat unsere webapp auf hamburg.codefor.de mal bez?glich security abzuklopfen. >> >> Ich w?rde das sehr gerne machen, allerdings nicht ohne euren >> Segen/Einverst?ndnis. >> >> Vom Umfang her w?re das unser VHOST hamburg.codefor.de: >> mit einer Webapp >> mit einem API-Endpoint, >> der zu MongoDB durchreicht, >> was afaik auch nur wir verwenden. >> >> Wir w?rden das dann ggf direkt nach einem regul?ren Backup starten, >> damit im Falle des Falles kein Schaden entsteht. >> >> Bitte um R?ckmeldung insbesondere von den zentraleren Admins. >> >> Danke, sch?nen Sonntag noch und LG >> >> Timo >> > Hallo Timo, > > besteht da eine Gefahr f?r die anderen Webseiten und Services die auf > brandt laufen? Das w?re dann ja nicht so sch?n. > > cheers, > Jochen > Hallo Jochen, v?llig auszuschlie?en ist es nicht. Da dem apache dabei durchaus kurious geformte HTTP Requests vorgelegt werden und wir alle den gleichen verwenden, bestehen nat?rlich, falls dieser crashed (eher unwahrscheinlich), die Gefahren, die mit so einem crash verbunden sind. Also die webseiten sind erstmal (kurzfristig) nicht erreichbar. Evtl. gehen Requestdaten von zur crashzeit gerade laufenden Requests verloren. Wenn es ganz schlecht l?uft, k?nnte das nat?rlich auch die Datenbank(en) in Mitleidenschaft ziehen. Ich halte diese Risiken insgesamt f?r sehr klein/unwahrscheinlich. Kann aber verstehen, wenn ihr f?r 0 Risiko anstatt 0.0000x Risiko votiert. Vielleicht fangen wir erstmal damit an, die app local zu testen, damit sollten sich die app-internen Fehler ja auch finden lassen. Danke f?r deine R?ckmeldung. Cheers, Timo