olex.biz » web http://olex.biz Seite eines Informatikstudenten Tue, 16 Mar 2010 18:35:34 +0000 de hourly 1 http://wordpress.org/?v=3.0.1 SVN für Webseiten – aufpassen http://olex.biz/blog/svn-website-deployment/ http://olex.biz/blog/svn-website-deployment/#comments Wed, 17 Feb 2010 03:28:25 +0000 Olexandr Savchuk http://olex.biz/?p=161 Viele Webmaster verwenden SVN nicht nur als ein Versionskontrollsystem für die Entwicklung ihrer Projekte, sondern auch als ein Tool zum Uploaden der fertigen Webseite auf den Server. Eine Sicherheitslücke wurde in dem System entdeckt, wovon viele nicht wissen, und sie stellt eine ernste Bedrohung für viele Webseiten dar – denn unter Umständen können Quellcodes und Konfigurationsdateien von Dritten eingesehen werden. Um die Art dieser Lücke zu verstehen, muss man sich ein wenig in die Technik hinter SVN vertiefen.

In jedem Ordner, der von SVN verwaltet wird, wird ein verstecktes Unterordner .svn angelegt. In diesem werden eine Liste aller Dateien und Unterordner sowie die aktuellen Versionen aller Dateien selbst gelagert. Die Datei .svn/entries enthält die Namen aller Dateien und Ordner und einige für SVN relevante technische Informationen, und das Unterverzeichnis .svn/text-base beinhaltet alle Dateien des Ordners, mit .svn-base als Zusatzerweiterung.

project
  |- index.php
  |- config.php
  |- dir
  |    |- .svn
  |    |    |- entries
  |    |    '- text-base
  |    |         '- file.ext.svn-base
  |    '- file.ext
  |- .svn
  |    |- entries
  |    |- text-base
  |    |    |- index.php.svn-base
  |    |    '- config.php.svn-base
  |    '- ...
  '- ...

Normalerweise ist das Verzeichnis .svn versteckt, und darauf wird nicht viel geachtet. Allerdings werden die meisten Webserver mit Standardeinstellungen diesen Ordner nicht anders als alle Anderen betrachten – das heißt, wenn die Dateien daraus direkt angefordert werden, werden diese dem Benutzer angezeigt. So kann man sich aus der entries Datei die Liste aller Dateinamen besorgen, und da die Erweiterungen dieser Dateien im text-base Ordner geändert sind, werden Skript-Dateien nicht wie gewöhnlich von Server ausgeführt (z.B. PHP), sondern der Quellcode wird wie es vorliegt direkt ausgegeben.

Diese Sicherheitslücke wurde vor einiger Zeit von einer Gruppe russischer Programmierer entdeckt. Diese haben einen Scan vieler Webseiten in den .com, .de und .ru Zonen durchgeführt, und die Ergebnisse waren erstaunlich. Hunderte von Webseitenbesitzern wurden über Lücken in ihren Projekten informiert. Nachdem die Lücke auf den meisten großen Seiten geschlossen wurde, wurden die Informationen auf einem großen russischen IT-Blog Habrahabr veröffentlicht.

Es gibt mehrere Arten, sich von dieser Lücke zu schützen. Die einfachsten sind:

  • Zugriff auf .svn mittels .htaccess (auf Apache) oder anderen Konfigurationsmitteln sperren.
  • Beim Benutzen von svn export anstatt des gewöhnlichen svn checkout wird das Verzeichnis .svn erst gar nicht erstellt.

Wobei diese Methoden recht offensichtlich erscheinen (und das sind sie), war ich sehr überrascht, als ich mal einen kleinen Test mit einigen Webseiten aus meinen Favoriten durchgeführt habe. Von da aus, wenn Sie Webmaster sind und hiervon nicht gewusst haben – Vorsicht.

Digg This  Reddit This  Stumble Now!  Buzz This  Vote on DZone  Share on Facebook  Bookmark this on Delicious  Kick It on DotNetKicks.com  Shout it  Share on LinkedIn  Bookmark this on Technorati  Post on Twitter  Google Buzz (aka. Google Reader)  
]]> http://olex.biz/blog/svn-website-deployment/feed/langswitch_lang/de/ 0