Cześć
Dzisiaj podczas pracy na TS-231p przypadkiem rzuciło mi się coś w oko... a mianowicie - NIE będąc zalogowanym do dysku po HTTPS, ani nie posiadając żadnych danych logowania po smb na laptopie - wpisałem w adresie przeglądarki:
//uszkodziłem/zniekształciłem nieco link dla celów bezpieczeństwa
hatetepees(celowa zmiana bo mi tag URL wklejało)://[IP]/cgi-bin/filemanager/utilRequest.cgi/[tutaj_cos_trzeba_wpisac_ale_usunalem]?func=[tutaj_takze_cos_jest_ale_im_mniej_osob_to_zobaczy_tym_lepiej]&[odpowiednia_zmienna]=[ścieżka_docelowa_do_pliku]
i zgadnijcie... bez znajomości hasła (2FA także nie zareagowało) - wyświetliłem ZAWARTOŚĆ PLIKU! - i nie miało to znaczenia, że plik znajduje się w katalogu, którego lista uprawnień była pusta (nawet "adminowi" wycofałem próbnie uprawnienia)
Nie ma znaczenia, czy podchodzę do tematu po LAN'ie, czy po WAN'ie - w obu przypadkach działa (w tym drugim przypadku jest o tyle gorzej, że KAŻDY na świecie może testować to na MOIM Qnapie! - np. atak słownikowy na nazwy plików i katalogów)
Próba ustawienia blokady np. plikiem .htaccess nie przynosi efektu :-(
Czyżby znając ścieżkę oraz nazwę pliku docelowego, BEZ uwierzytelniania jest możliwy podgląd zawartości? nawet jeżeli plik znajduje się w katalogu, który z założenia ma NIE być dostępny przez sieć (ZERO uprawnień na katalogu - zablokowany dostęp dla "gościa")
W poniedziałek zweryfikuję jeszcze jak sprawa wygląda przy aktywnym szyfrowaniu dysku...
Czy ktoś zna już ten problem? Jest na to jakieś dobre rozwiązanie? (prócz oczywiście: zaszyfruj pliki zanim umieścisz je na Qnapie)
Jak ustawić urządzenie, by dostęp do plików posiadał JEDYNIE ZAUTORYZOWANY użytkownik? (podejście w stylu: "przecież nikt się nie domyśli jak nazywa się plik i gdzie się znajduje" - w dzisiejszych czasach już nie działa)
Pozdrawiam
darek
Dzisiaj podczas pracy na TS-231p przypadkiem rzuciło mi się coś w oko... a mianowicie - NIE będąc zalogowanym do dysku po HTTPS, ani nie posiadając żadnych danych logowania po smb na laptopie - wpisałem w adresie przeglądarki:
//uszkodziłem/zniekształciłem nieco link dla celów bezpieczeństwa
hatetepees(celowa zmiana bo mi tag URL wklejało)://[IP]/cgi-bin/filemanager/utilRequest.cgi/[tutaj_cos_trzeba_wpisac_ale_usunalem]?func=[tutaj_takze_cos_jest_ale_im_mniej_osob_to_zobaczy_tym_lepiej]&[odpowiednia_zmienna]=[ścieżka_docelowa_do_pliku]
i zgadnijcie... bez znajomości hasła (2FA także nie zareagowało) - wyświetliłem ZAWARTOŚĆ PLIKU! - i nie miało to znaczenia, że plik znajduje się w katalogu, którego lista uprawnień była pusta (nawet "adminowi" wycofałem próbnie uprawnienia)
Nie ma znaczenia, czy podchodzę do tematu po LAN'ie, czy po WAN'ie - w obu przypadkach działa (w tym drugim przypadku jest o tyle gorzej, że KAŻDY na świecie może testować to na MOIM Qnapie! - np. atak słownikowy na nazwy plików i katalogów)
Próba ustawienia blokady np. plikiem .htaccess nie przynosi efektu :-(
Czyżby znając ścieżkę oraz nazwę pliku docelowego, BEZ uwierzytelniania jest możliwy podgląd zawartości? nawet jeżeli plik znajduje się w katalogu, który z założenia ma NIE być dostępny przez sieć (ZERO uprawnień na katalogu - zablokowany dostęp dla "gościa")
W poniedziałek zweryfikuję jeszcze jak sprawa wygląda przy aktywnym szyfrowaniu dysku...
Czy ktoś zna już ten problem? Jest na to jakieś dobre rozwiązanie? (prócz oczywiście: zaszyfruj pliki zanim umieścisz je na Qnapie)
Jak ustawić urządzenie, by dostęp do plików posiadał JEDYNIE ZAUTORYZOWANY użytkownik? (podejście w stylu: "przecież nikt się nie domyśli jak nazywa się plik i gdzie się znajduje" - w dzisiejszych czasach już nie działa)
Pozdrawiam
darek
