Pentest Findings [GELÖST]

[alec]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ziemlich


Server-Betriebssystem + Version
Debian 11.6 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
23.0 (Build 2921)


Problembeschreibung / Fehlermeldungen
Wir sind aktuell dabei sämtliche Server mit OpenVAS und diversen anderen Pentest-Tools zu testen. Unteranderem haben wir auch ein Test gegen das KeyHelp Panel gefahren.

Folgende Findings haben sich ergeben:
- Low: Interesting files found - URL "https://keyhelp.example.de/install/install.php"
- Info: Security.txt file is missing - /.well-known/security.txt


Erwartetes Ergebnis
- 403 oder 404 beim Aufruf von "https://keyhelp.example.de/install/install.php"
- Eine Möglichkeit den Inhalt der security.txt im Panel zu definieren. Ist aber eher unwichtig als Feature.


Tatsächliches Ergebnis
- "https://keyhelp.example.de/install/install.php" gibt folgende Meldung zurück:

Code: Select all

[1;97;41m Error [0m [1;31mThis application requires to be run in CLI mode.[0m

Schritte zur Reproduktion
Einfach die URL "https://dein-pannel.de/install/install.php" im Browser öffnen.


Zusätzliche Frage zur Security.txt
Wenn ich "/.well-known/security.txt" einfach manuell anlege, wird diese beim nächsten Update wieder entfernt?


Sonstiges
Vielen Dank für eure tolle Arbeit. KeyHelp ist echt ein Traum!

[Alexander]

- 403 oder 404 beim Aufruf von "https://keyhelp.example.de/install/install.php"

Um die Pen-Test-Tools zu beruhigen, kommt entsprechend künftig 403 + der Text ohne die CLI Steuerzeichen.

Nur um es nochmal zu verdeutlichen, es ist kein Problem, dass die Datei erreichbar ist: Zum Einen ist zwingend ein CLI-Kontext erforderlich und zum Anderen muss die Datei als root aufgerufen werden. Beides Dinge, die über den Web-Kontext unmöglich herzustellen sind.

Eine Möglichkeit den Inhalt der security.txt im Panel zu definieren. Ist aber eher unwichtig als Feature.

Wenn das von ein paar Leuten gewünscht wird, könnte ich es mit einbauen.
In der Theorie ganz nett, aber die Bots wirds freuen (zumindest man als Kontakt eine Mail angibt) -> sich über die Datei mal schnell noch ein paar E-Mailadressen abgreifen ...

[24unix]

sich über die Datei mal schnell noch ein paar E-Mailadressen abgreifen ...

Wenn man der Impressumspflicht unterliegt (oder auch nur mails an T-Online-Kunden senden will ) muss man das ja eh, kann die Adresse nehmen. Oder im Zweifel noreply@ verwenden.

[alec]

Nur um es nochmal zu verdeutlichen, es ist kein Problem, dass die Datei erreichbar ist: Zum Einen ist zwingend ein CLI-Kontext erforderlich und zum Anderen muss die Datei als root aufgerufen werden. Beides Dinge, die über den Web-Kontext unmöglich herzustellen sind.

Das an der Stelle nichts passiert, habe ich getestet. Das ist mir soweit bewusst. Ansonsten hätte ich unter "Erwartetes Ergebnis" mehr reingeschrieben als nur den Wunsch bzw. die Erwartung nach einer 403 oder 404 Seite.

Was sich nicht wegdiskutieren lässt, ist der erste "Schock", welchen man bekommt, sobald das Pentest-Tool diese URL findet und meckert. Beruhigung bekommt man erst nachdem die ersten Tests zeigen, dass es nur ein False Positiv ist. Wenn diese Datei eh nicht für die Öffentlichkeit gedacht ist, wieso nicht einfach komplett nach außen unsichtbar machen? Das hätte mir ein paar graue Haare erspart.

Eine Möglichkeit den Inhalt der security.txt im Panel zu definieren. Ist aber eher unwichtig als Feature.

Wenn das von ein paar Leuten gewünscht wird, könnte ich es mit einbauen.
In der Theorie ganz nett, aber die Bots wirds freuen (zumindest man als Kontakt eine Mail angibt) -> sich über die Datei mal schnell noch ein paar E-Mailadressen abgreifen ...

Ich weiß auch nicht was ich davon halten soll. Soll aber scheinbar "Best Practice" sein.

Zusätzliche Frage zur Security.txt
Wenn ich "/.well-known/security.txt" einfach manuell anlege, wird diese beim nächsten Update wieder entfernt?

Weiß hierauf jemand eine Antwort?

[Jolinar]

Vielen Dank für eure tolle Arbeit. KeyHelp ist echt ein Traum!

Solch lobende Worte hört man gerne

An die Dunning-Spezis unter uns: So geht positives Feedback!

Das hätte mir ein paar graue Haare erspart.

Sieh es positiv...Die paar grauen Haare sind es doch wert, daß das Panel durch deinen Hinweis weiter verbessert und perfektioniert werden kann...jetzt hast auch du einen kleinen Beitrag zu diesem "Traum" geleistet.

Zusätzliche Frage zur Security.txt
Wenn ich "/.well-known/security.txt" einfach manuell anlege, wird diese beim nächsten Update wieder entfernt?

Weiß hierauf jemand eine Antwort?

Da das Panel (noch) keine eigene security.txt hinterlegt, sollte da bei einem Update auch nichts passieren.
Aber das kann dir Alex sicher nochmal bestätigen.

[Alexander]

Alles was im KeyHelp-Ordner abgelegt wird, wird mit dem nächsten Update entfernt.

Übergangslösung: Du könntest z.B. einen Cronjob anlegen, der jeden Tag überprüft, ob die security.txt noch existiert und sie ggf. mit den gewünschten Inhalten schreibt. Lass ihn am besten so gegen 4-5 Uhr laufen, dann hast du sie nach einem möglichen Update gleich wieder an Ort und Stelle.

[alec]

Alles was im KeyHelp-Ordner abgelegt wird, wird mit dem nächsten Update entfernt.

Das habe ich befürchtet.

Übergangslösung: Du könntest z.B. einen Cronjob anlegen, der jeden Tag überprüft, ob die security.txt noch existiert und sie ggf. mit den gewünschten Inhalten schreibt. Lass ihn am besten so gegen 4-5 Uhr laufen, dann hast du sie nach einem möglichen Update gleich wieder an Ort und Stelle.

Denke das werde ich so machen. Danke.