Skocz do zawartości
glorifyday

Prosta strona WWW na ruterze z Tomato - czym ryzykuje?

Oceń temat:

Rekomendowane odpowiedzi

glorifyday

Mam taki pomysl, zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze. Skrypt nie robi rzeczy niebezpiecznych, jak jakis bot go uruchomi, to nie jest dla mnie problem.

Wiekszy bylby problem, gdyby przez te strone mozna bylo skrypt odczytac, a jeszcze wiekszy, gdyby dalo sie uruchomic jakis skrypt czy kod "podrzucony".

Lewy jestem w materii stron WWW na maksa, zatem chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

Dodatkowe uwagi.

  • Port 443 mam zajety, nie moge go niestety wystawic na zewnatrz.
  • Jesli to bedzie dzialac i jesli da mi wiecej bezpieczenstwa, moglbym wystawic strone po https na porcie 80, ale nie wiem, czy sie przegladarki nie beda gubic.
  • Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?
  • Moge rozwazyc jakies captcha, ale tu tez jestem lewy, nie wiem jak sie do tego zabrac.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

przede wszystkim nieautoryzowanym wykonaniem. możesz dorobić jakiś prosty ogranicznik plikiem .htaccess :
Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.
a uprawnienia zmienić tak aby odczyt i wykonanie miał konkretny user.

 

Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?

hasło przez powyższe rozwiązanie może być (a nawet musi) zakodowane zgodnie z algorytmem MD5

anyway, czy tomato nie ma czasem webserwera nginx ? Jeśli tak to trzeba :

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.
. Nie używam tomato więc nie wiem jak serwować coś z niego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday
W dniu 10.06.2015 o 13:51, house napisał:
zakodowane zgodnie z algorytmem MD5

Ale to nie jest jakies specjalnie pewne zabezpieczenie.

Popatrze na .htaccess i zerkne na tego nginxa.

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

możesz te skrypty ukryć zmienną "location" - analogicznie jak to robi się z plikami konfiguracyjnymi softu. Klient otrzyma 444 - brak odpowiedzi i nginx rozłączy request.

W dniu 10.06.2015 o 16:44, glorifyday napisał:

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Myślę, że jeśli poświęcisz trochę czasu nad tematem to będzie działać w miarę bezpiecznie. Chociaż internet niejedno już widział i czytał.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
bischop
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

nie musisz do czasu aż w sofcie który stanowi serwer www bądź w kodzie firmware'u maszyny znajdzie się dziura która umożliwi w jakiś sposób zdalne wykonanie kodu. Możesz mieć jeszcze problem z przez siebie błędnie napisanym skryptem np. PHP który to np. wywołuje zapytanie na bazie danych. Dane do zapytania pobierane są przez ten skrypt za pomocą forumlarza www. Luka polega na tym, że odpowiednio wprowadzone dane w polu formularza i zawołane na bazie danych powodują wykonanie na bazie nie tego "kodu" który ty byś chciał, ale tego co wstawi atakujący [*].

To, że wrzucisz skrypt na serwer www nie znaczy, że zdalnie będzie można odczytać kod skryptu. Skrypt będzie uruchamiany i wyświetlane będą jego rezultaty działania - chyba, że skonfigurujesz serwer tak, że nie będzie uruchamiał skryptu tylko go "wyświetlał" jako dokument tekstowy.

I dość istotne jest tak jak wspominali przedmówcy abyś zainteresował się tym .httaccess'em - bo to bardzo ułatwia życie. Np. da się tam ograniczyć listowanie folderów pod względem zawartości plików w nim się znajdujących. Bo po co ktoś ma mieć możliwość zobaczenia, że w folderze "config" masz plik "passwords.ini" - a potem będą próby pobrania zawartości takiego pliku, bądź wywołania (w jakiś sposób) skryptu zdalnie tak, aby plik odczytał i wyświetlił.

Jeżeli atakujący nie wie czego szukać, nie zna struktury, wersji oprogramowania znajdującego się na serwerze to jest mu trudniej.

 

Cytuj

zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze

Taki link zostanie wykonany w przeciągu 30 minut po wystawieniu przez ciebie skryptu "na świat" jeżeli tylko podasz gdzieś swój adres IP na publicznej istniejącej stronie www. Uruchomią go np. internetowe boty wyszukiwarek internetowych np. google.

 

 

 

[*] czytać:

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Command Injection on router:

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Edytowane przez bischop

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Podobna zawartość

    • vwrafi
      Przez vwrafi
      Witam.
       
      Posiadam internet w firmie Vectra. Mam stały adres IP oraz router Cisco EPC3928. Posiadam mieszkanie dwupoziomowe oraz komórkę lokatorską na półpiętrze obok mieszkania ( komórka o pół piętra niżej niż mieszkanie ). Obecny router daje mi dostęp do internetu w całym mieszkaniu oraz w komórce lokatorskiej. W najbardziej skrajnym punkcie mieszkania oraz w komórce mam 2/3 kreski zasięgu wi-fi 2.4GHz. Chcę zmienić tryb pracy routera na bridge i podłączyć do niego zewnętrzny router, abym mógł przekierowywać porty. Wykorzystanie routera będzie przez 2 telewizory, 3 komórki, 3 laptopy,do tego podłączony będzie raspberry pi jako serwer www dla prostej stronki na wordpress'ie oraz 2 kamerki IP na Wi-Fi. Raspberry będzie podłączony poprzez port LAN. Łącze w Vectrze mam 100/10. Czy w moim przypadku muszę posiadać porty LAN 1Gb czy wystarczą 100Mb? Jaki router kupić, aby zasięg mi się poprawił i w miejscu, gdzie do tej pory były 2/3 kreski pojawiły się 3/4?
       
      Chciałem kupić Asus AC1200G+, trochę ponad moje możliwości finansowe ale może bym dozbierał. Przeczytałem jednak, że się wiesza, a obecny router Cisco EPC3928 chodzi nieprzerwanie od 2 lat bez żadnego zawieszenia ( wyłączany jest z prądu tylko 4 razy w roku jak trzeba posprzątać za szafką RTV na której stoi ) i wolałbym nie resetować Asus'a co tydzień czy dwa.
       
      Później chciałem kupić kupić TP Linka Archer C1200, podobno mniej się wiesza, ale jeśli to jest bliźniacza konstrukcja do wspomnianego wyżej Asus'a to według mnie będzie podobnie ( najwidoczniej więcej osób posiada Asus'a i stąd wydaje się, że większej liczbie osób się wiesza a w rzeczywistości procentowo może być tak samo jak w Archer'ze ).
       
      Jest kilka fajnych routerów poniżej 150zł ( np. Archer C50, Archer C20),  ale mają one wtedy porty LAN i WAN 100Mb. Nie wiem, czy ja potrzebuję aż 1Gb dla moich potrzeb i internetu 100/10, może porty 100Mb wystarczą?
       
      Co byście poradzili? I czy ten Archer C1200 posiada anteny 5dBi jak w Asus'ie czy raczej 2dBi?
       
      Zamieszczam schemat mieszkania. Między routerem a komórką lokatorską jest jedna ścianka działowa oraz jedna gruba nośna. Odległość od miejsca gdzie stoi obecny router do komórki lokatorskiej to 10 metrów.

    • patryczekk
      Przez patryczekk
      Cześć jestem laikiem, ale z zamiłowaniami - abyś zrobić to samemu.
      Na ten moment potrzebuję stuningować mój router RT-AC51U, aby mieć między innymi sftp. Niestety oryginalne oprogramowanie na asusie mi tego
      nie umożliwia, stąd muszę coś zmienić. Konkretnie zależałoby mi na:
      1) sftp
      2) samba po usb z pendrive podłączonym (obsługa pendrive)
      3) open vpn wgrane i aby wypluwał mi plik konfiguracyjny
      4) wol - budzie komputera przez lan
      5) oczywiście wi-fi i 4 lany tzn, aby wszystkie lany działały, no i wan aby działał
      6) obsługa modemu 4g
      7) podgląd kto jest podłączony do sieci
      😎 możliwość włączania i wyłączania wps
       
      Czy moglibyście wskazać koledzy i koleżanki, w jaki sposób najlepiej (optymalnie) wgrać nowe oprogramowanie i które jest
      prostsze do zarządzania,a  może też jest w języku polskim.
      Przeglądałem forum niemniej nie wszystko rozumiem, np. że trzeba coś przylutować - stąd zakładam temat
      bo może obecnie można coś w temacie uprościć.
    • shibby
      Przez shibby
      Fork Tomato-ARM by Shibby, obrazy kompilowane przez FreshTomato team
      Kompilujemy obrazy dla wybranych routerów ARM: 
      Asus N18U, AC56S, AC56U/AC56R, AC68U(A1,A2,B1)/R/P, AC3200,  Netgear R6250, R6300v2, R6400, R7000, R8000,  Linksys EA6300v1/EA6400, EA6500v2, EA6700, EA6900,  TendaAC15,  Huawei WS880

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Używamy plików cookie do celów związanych z reklamami, mediami społecznościowymi i statystykami. Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Wszystkie wymagane w tej kwestii informacje zawierają: Polityka prywatności, Regulamin oraz Warunki użytkowania.