Ich habe eine Sicherheitslücke im Backup-System gefunden. Ich habe auch ein Script geschrieben, welches dieses Lücke nutzt und mir innerhalb weniger Sekunden ein frisch erstelltes Backup auf meinem Rechner kopiert. Dazu muss ich noch nicht einmal angemeldet sein. Weitere Details werde ich nicht nennen. Mit dem Backup habe ich die Zugangsdaten und einen guten Ansatz für Identitätsdiebstahl, da die Kennwörter nur schwach verschlüsselt sind. Das ich auch die Tipps der anderen kenne ist eher irrelevant.
Die Entwickler wissen Bescheid und haben mich zu diesem Post aufgefordert.
Lösung 1:
Ihr müsst das Verzeichnis ./backup/ vor jeglichem Zugriff schützen. Üblicherweise reicht es, die Datei ./backup/.htaccess (also im Backup-Verzeichnis) mit der folgenden Zeile anzulegen:
Losung 2:
Keine Backups aus dem System anlegen.