[Codeforde-cert] Pentest unserer webapp auf brandt

Mon Jan 5 21:23:16 UTC 2015

Am 05.01.2015 um 19:02 schrieb Jochen Klar:
> On 04/01/15 14:54, Timo Keßler wrote:
>> Hallo zusammen,
>>
>> ich habe auf dem 31C3 einen Pentester kennengelernt, der mir angeboten
>> hat unsere webapp auf hamburg.codefor.de mal bezüglich security abzuklopfen.
>>
>> Ich würde das sehr gerne machen, allerdings nicht ohne euren
>> Segen/Einverständnis.
>>
>> Vom Umfang her wäre das unser VHOST hamburg.codefor.de:
>> mit einer Webapp
>> mit einem API-Endpoint,
>> der zu MongoDB durchreicht,
>> was afaik auch nur wir verwenden.
>>
>> Wir würden das dann ggf direkt nach einem regulären Backup starten,
>> damit im Falle des Falles kein Schaden entsteht.
>>
>> Bitte um Rückmeldung insbesondere von den zentraleren Admins.
>>
>> Danke, schönen Sonntag noch und LG
>>
>> Timo
>>
> Hallo Timo,
>
> besteht da eine Gefahr für die anderen Webseiten und Services die auf
> brandt laufen? Das wäre dann ja nicht so schön.
>
> cheers,
> Jochen
>
Hallo Jochen,

völlig auszuschließen ist es nicht.
Da dem apache dabei durchaus kurious geformte HTTP Requests
vorgelegt werden und wir alle den gleichen verwenden,
bestehen natürlich, falls dieser crashed (eher unwahrscheinlich),
die Gefahren, die mit so einem crash verbunden sind.
Also die webseiten sind erstmal (kurzfristig) nicht erreichbar.
Evtl. gehen Requestdaten von zur crashzeit gerade laufenden
Requests verloren.
Wenn es ganz schlecht läuft, könnte das natürlich auch die
Datenbank(en) in Mitleidenschaft ziehen.

Ich halte diese Risiken insgesamt für sehr klein/unwahrscheinlich.
Kann aber verstehen, wenn ihr für 0 Risiko anstatt 0.0000x Risiko votiert.

Vielleicht fangen wir erstmal damit an, die app local zu testen, damit
sollten
sich die app-internen Fehler ja auch finden lassen.

Danke für deine Rückmeldung.

Cheers,

Timo