Sicherheitstipp: Vorsicht mit Confixx Directory Listing + Webuser Subdomains (!"Standard-Domain deaktivieren")

Confixx directory listing ist sicherheitsrelevant!

Heute ein kleiner sicherheitsrelevanter Tipp für Nutzer von Confixx! Hier solltet ihr besonders vorsichtig mit der Einstellung "Directory Listing" sein!

Hintergrund ist, dass Confixx standardmäßig eine Subdomain je Webuser bereitstellt, z.B. http://web1337.myserver.com

Diese Subdomain zeigt direkt auf das Verzeichnis "html" des Web-Users (web1337). Ist nun die oben genannte Option aktiv, kann man darüber sämtliche Verzeichnisse des html-Ordners direkt auslesen, wenn im Ordner keine index-Datei liegt.

Darüber hinaus könnte man so ggf. einen ungewünschten Einstiegsort in die Ordnerstruktur bekommen, als Parallelwelt zu den eigentlichen Domains. Sogar die Kritik des "Duplicate Content" ist angebracht.

Also vorsicht mit dieser Option! Das Directory Listing sollte im Normalfall abgeschaltet werden. Ebenso solltet ihr am besten die Standard-Subdomains vollständig deaktivieren, wenn möglich. Das funktioniert folgendermaßen... aber zunächst ein riesen Dankeschön für diesen Tipp den Hostinganbieter unseres Vertrauens seit > 10 Jahren: Netclusive!

Um das Subdomain-Verhalten zu deaktivieren und somit diesen gefährlichen Seiteneinstieg zu verhindern, loggt Euch als Administrator in Confixx ein (NICHT als webX) und aktiviert unter Einstellungen > Standard-Domain die Option "Standard-Domain deaktivieren"!

Schon ist das Problem mit dem nächsten Counterscript behoben und eine mögliche Sicherheitslücke endgültig geschlossen.

AttachmentSize
confixx_admin_einstellungen_standard_domain_-_deaktivieren.png3.67 KB

Comments

Post new comment

The content of this field is kept private and will not be shown publicly.

More information about formatting options