Skocz do zawartości
glorifyday

Prosta strona WWW na ruterze z Tomato - czym ryzykuje?

Oceń temat:

Rekomendowane odpowiedzi

glorifyday

Mam taki pomysl, zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze. Skrypt nie robi rzeczy niebezpiecznych, jak jakis bot go uruchomi, to nie jest dla mnie problem.

Wiekszy bylby problem, gdyby przez te strone mozna bylo skrypt odczytac, a jeszcze wiekszy, gdyby dalo sie uruchomic jakis skrypt czy kod "podrzucony".

Lewy jestem w materii stron WWW na maksa, zatem chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

Dodatkowe uwagi.

  • Port 443 mam zajety, nie moge go niestety wystawic na zewnatrz.
  • Jesli to bedzie dzialac i jesli da mi wiecej bezpieczenstwa, moglbym wystawic strone po https na porcie 80, ale nie wiem, czy sie przegladarki nie beda gubic.
  • Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?
  • Moge rozwazyc jakies captcha, ale tu tez jestem lewy, nie wiem jak sie do tego zabrac.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

przede wszystkim nieautoryzowanym wykonaniem. możesz dorobić jakiś prosty ogranicznik plikiem .htaccess :
Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.
a uprawnienia zmienić tak aby odczyt i wykonanie miał konkretny user.

 

Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?

hasło przez powyższe rozwiązanie może być (a nawet musi) zakodowane zgodnie z algorytmem MD5

anyway, czy tomato nie ma czasem webserwera nginx ? Jeśli tak to trzeba :

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.
. Nie używam tomato więc nie wiem jak serwować coś z niego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday
W dniu 10.06.2015 o 13:51, house napisał:
zakodowane zgodnie z algorytmem MD5

Ale to nie jest jakies specjalnie pewne zabezpieczenie.

Popatrze na .htaccess i zerkne na tego nginxa.

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

możesz te skrypty ukryć zmienną "location" - analogicznie jak to robi się z plikami konfiguracyjnymi softu. Klient otrzyma 444 - brak odpowiedzi i nginx rozłączy request.

W dniu 10.06.2015 o 16:44, glorifyday napisał:

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Myślę, że jeśli poświęcisz trochę czasu nad tematem to będzie działać w miarę bezpiecznie. Chociaż internet niejedno już widział i czytał.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
bischop
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

nie musisz do czasu aż w sofcie który stanowi serwer www bądź w kodzie firmware'u maszyny znajdzie się dziura która umożliwi w jakiś sposób zdalne wykonanie kodu. Możesz mieć jeszcze problem z przez siebie błędnie napisanym skryptem np. PHP który to np. wywołuje zapytanie na bazie danych. Dane do zapytania pobierane są przez ten skrypt za pomocą forumlarza www. Luka polega na tym, że odpowiednio wprowadzone dane w polu formularza i zawołane na bazie danych powodują wykonanie na bazie nie tego "kodu" który ty byś chciał, ale tego co wstawi atakujący [*].

To, że wrzucisz skrypt na serwer www nie znaczy, że zdalnie będzie można odczytać kod skryptu. Skrypt będzie uruchamiany i wyświetlane będą jego rezultaty działania - chyba, że skonfigurujesz serwer tak, że nie będzie uruchamiał skryptu tylko go "wyświetlał" jako dokument tekstowy.

I dość istotne jest tak jak wspominali przedmówcy abyś zainteresował się tym .httaccess'em - bo to bardzo ułatwia życie. Np. da się tam ograniczyć listowanie folderów pod względem zawartości plików w nim się znajdujących. Bo po co ktoś ma mieć możliwość zobaczenia, że w folderze "config" masz plik "passwords.ini" - a potem będą próby pobrania zawartości takiego pliku, bądź wywołania (w jakiś sposób) skryptu zdalnie tak, aby plik odczytał i wyświetlił.

Jeżeli atakujący nie wie czego szukać, nie zna struktury, wersji oprogramowania znajdującego się na serwerze to jest mu trudniej.

 

Cytuj

zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze

Taki link zostanie wykonany w przeciągu 30 minut po wystawieniu przez ciebie skryptu "na świat" jeżeli tylko podasz gdzieś swój adres IP na publicznej istniejącej stronie www. Uruchomią go np. internetowe boty wyszukiwarek internetowych np. google.

 

 

 

[*] czytać:

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Command Injection on router:

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Edytowane przez bischop

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Podobna zawartość

    • shibby
      Przez shibby
      Fork Tomato-ARM by Shibby, obrazy kompilowane przez FreshTomato team
      Kompilujemy obrazy dla wybranych routerów ARM: 
      Asus N18U, AC56S, AC56U/AC56R, AC68U(A1,A2,B1)/R/P, AC3200,  Netgear R6250, R6300v2, R6400, R7000, R8000,  Linksys EA6300v1/EA6400, EA6500v2, EA6700, EA6900,  TendaAC15,  Huawei WS880
    • Atrix
      Przez Atrix
      Witam.
      Posiadam ten ruter od dłuższego czasu i w zasadzie od początku lecę na Tomato by Shibby. Od dawna też go nie aktualizowałem, a widzę że Shibby póki co nie aktualizuje swoich buildów.
      Podłubałem trochę w necie, co by sprawdzić na czym teraz lata ten Asus. Trafiłem na Merlina, Shibby, coś o DDWRT i tu na oryginalny firmware, który co rusz jest aktualizowany.
      Zatem mam zapytanie do osób będących na bieżąco w temacie firmware, co aktualnie byście polecili? Zostać na Tomato czy zrobić zwrot i zmienić oprogramowanie... Jeśli tak to na jakie.
       
      Dzięki za wszelkie głosy  tym temacie.
      Pozdrawiam
    • house
      Przez house
      no właśnie, dokąd ? mniemam ,że poniższy cytaty są zapowiedzią "nowej jakości"
      autor "Tomato by Shibby":
      info od Victeka (tomato raf):
      no cóż, idzie nowe
      a to coś zgoła odmiennego - modyfikacja interfejsu tomato o technologie "web 2.0" wykonana przez jednego z użytkowników ze Słowenii:
      https://advancedtomato.com/
      Zmiany, zmiany, zmiany

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Wszystkie wymagane w tej kwestii informacje zawierają: Polityka prywatności, Regulamin oraz Warunki użytkowania.