Ziemlich
Server-Betriebssystem + Version
Debian 11.6 (64-bit)
Eingesetzte Server-Virtualisierung-Technologie
KVM
KeyHelp-Version + Build-Nummer
23.0 (Build 2921)
Problembeschreibung / Fehlermeldungen
Wir sind aktuell dabei sämtliche Server mit OpenVAS und diversen anderen Pentest-Tools zu testen. Unteranderem haben wir auch ein Test gegen das KeyHelp Panel gefahren.
Folgende Findings haben sich ergeben:
- Low: Interesting files found - URL "https://keyhelp.example.de/install/install.php"
- Info: Security.txt file is missing - /.well-known/security.txt
Erwartetes Ergebnis
- 403 oder 404 beim Aufruf von "https://keyhelp.example.de/install/install.php"
- Eine Möglichkeit den Inhalt der security.txt im Panel zu definieren. Ist aber eher unwichtig als Feature.
Tatsächliches Ergebnis
- "https://keyhelp.example.de/install/install.php" gibt folgende Meldung zurück:
Code: Select all
[1;97;41m Error [0m [1;31mThis application requires to be run in CLI mode.[0m
Schritte zur Reproduktion
Einfach die URL "https://dein-pannel.de/install/install.php" im Browser öffnen.
Zusätzliche Frage zur Security.txt
Wenn ich "/.well-known/security.txt" einfach manuell anlege, wird diese beim nächsten Update wieder entfernt?
Sonstiges
Vielen Dank für eure tolle Arbeit. KeyHelp ist echt ein Traum!