PHPBB 3 Security tricks

[Umbekannt]

Moin leutz ich wünsch euch ein frohes neues,

kennt ihr evtl. ein paar Tricks um ein Board mit phpBB3 ein bisschen sicherer zu machen?

Ich würd mich z.B. gern gegen so ein paar exploits wehren können?

P.S:

Die Namen der exploits werde ich nicht veraten.

[Dr.Death]

Bisher sind uns keine Exploits bekannt in phpBB 3.0.4.

Solltest Du welche kennen, berichte sie bitte unter: http://www.phpbb.com/security/phpbb3/

[Nordys]

Was sind denn Exploits?
ich weis nicht mehr wie ich die datenbank sicher... xD ^.^

[Dr.Death]

--> http://de.wikipedia.org/wiki/Exploits

@Nordys:
Bitte kein Thema Hijacking betreiben.
Stelle für Dein Problem bitte eine eigene Supportanfrage.

[Robbi der Forenfreak]

Moin leutz ich wünsch euch ein frohes neues,

kennt ihr evtl. ein paar Tricks um ein Board mit phpBB3 ein bisschen sicherer zu machen?

Ich würd mich z.B. gern gegen so ein paar exploits wehren können?

P.S:

Die Namen der exploits werde ich nicht veraten.

Wenn es tatsächlich Tipps & Tricks für die Sicherheit des phpBB 3's, bzw. gegen Exploits etc gäbe, dann wären diese ja auch zu 99,9% im phpBB 3 eingebaut, denn warum sollte man die Software nicht schützen wenn man damit User vergraueln würde, da locker 20% aller phpBB 3 Admins nicht mal wissen was ein Mod ist, bzw. sie denken "Hää? Seit wann kann man Moderatoren installieren?".

Nur wenn du extrem Sicherheitsvernarrt bis kannst du ein Timescript einbauen, was dafür sorgt das erst nach 5 Sekunden ein erneuter Login Versuch möglich ist. So wird die BruteForce-Methode zerstört, da der Test mehrerer Tausend Passwörter wohl relativ unsinnig ist, wenn man 5 Sekunden warten muss... Wenn das nicht schon eingebaut ist.

[Boecki91]

Ja ist es schon, ich glaube man hat x Versuche und muss danach y Minuten warten.

[Mahony]

Hallo

Die Namen der exploits werde ich nicht veraten.

Ich halte es für ein Gerücht, das Exploits für phpBB3.0.4 existieren. Kannst ja gerne mal versuchen mein Forum zu hacken. Die URL gibt es bei Bedarf per PN. Ansonsten halte ich es mal mit Dieter Nuhr --
Wenn man keine Ahnung hat...



Grüße: Mahony

[Dr.Death]

Ja ist es schon, ich glaube man hat x Versuche und muss danach y Minuten warten.

Nicht ganz

Wenn man x mal ein falsches Passwort eingegeben hat muss man zusätzlich ein Captcha eingeben -->

Du hast die maximal zulässige Zahl von Anmeldeversuchen überschritten. Du musst nun zusätzlich zu deinem Benutzernamen und deinem Passwort den Bestätigungscode von unten stehendem Bild eingeben.

[Umbekannt]

Moiin,

naja, denkt doch mal nach z.B. bevor es Vista gab, gab es bereits mehrere DoS für das System, wieso sollte es dann keine exploits für phpBB3 geben?

Meine 3 Exploits die ich für phpBB gefunden habe, habe ich bereits an das support team weiter geleitet, mal gucken was da rauskommt.

Aber trozdem, würd mich mal interessieren, ob einer schon erfahrungen mit dem Hacken von Boarden gemacht hat, bzw. auch weiß wie man sich gegen bestimmte exploits schützen kann. Wäre mir schon sehr hilfreich, dann würde ich mir notfalls selbst ein script dagegen schreiben .

Allgemein ist es ja bekannt das phpBB sehr viele Sicherheitslücken hat, daher Frage ich auch noch einmal nach

[bantu]

Ein wertvoller Tipp gegen Exploits: Fix it.

Edit: Im phpBB Security Tracker scheinen deine drei Exploits übrigens (noch) nicht angekommen zu sein.