ich binn auf meiner suche nach pot. sicherheitslücken auf die file.php im download ordner gestoßen,
denn da wird im avatar-mode nicht viel überprüft??
was macht die download/file.php ??
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: was macht die download/file.php ??
sicherheitslücken existieren im phpbb3 derzeit nicht. merke: eine datei kommt selten allein. soll heißen, dateien des phpbb3 verzeichnisses kooperieren (auch) miteinander. in deinem falle finden durchaus auch überprüfungen an anderen stellen statt. die datei file.php (und andere) sollten nicht isoliert betrachtet werden (thema include und an anderen stellen vordefinierte und damit abgesicherte variablen)..
Re: was macht die download/file.php ??
da der ordner download frei zugänglich, und damit auch die file.php muss ich diese aber schon isoliert betrachten..
(die von dem file selbst includierten php's sicherlich mit eingeschlossen!)
(die von dem file selbst includierten php's sicherlich mit eingeschlossen!)
Re: was macht die download/file.php ??
in dem ordner ist eine datei namens index.htm
daher ist es nicht möglich in diesen ordner "hineinzuschauen".
frei zugänglich ist anders
ferner werden php dateien stets geparst. der inhalt der php selbst ist daher uneinsehbar.
by the way: wer sicherheitslücken aufdecken möchte und nichtmal den simpelsten verzeichnisschutz kennt, sollte sich neuen hobbys zuwenden..
außerdem..
daher ist es nicht möglich in diesen ordner "hineinzuschauen".
frei zugänglich ist anders
ferner werden php dateien stets geparst. der inhalt der php selbst ist daher uneinsehbar.
by the way: wer sicherheitslücken aufdecken möchte und nichtmal den simpelsten verzeichnisschutz kennt, sollte sich neuen hobbys zuwenden..
außerdem..
und damit beschäftigt sich ein heer von experten und hackern...sicherheitslücken existieren im phpbb3 derzeit nicht.
Re: was macht die download/file.php ??
wer denkt, dass eine lehre index.htm ein Verzeichniss schützt, der hat sicher noch nichts mit Administration zu tun gehabt!
jeder kann sich das phpbb runterladen und den quelltext einsehen, womit das parsen der php unrelevant ist..
und wie schnell es geht, bis jemand rausfindet welche files und systeme (z.b. phpbb) auf dem Webserver liegen, zeigt sich in den Logfiles.
(selbst in einem forum, dass irgendwo vergraben und ohne irgendwelche links unf dem webserver liegen, schafft es sogar der googlebot in ein paar stunden drauf rumzutururnen!)
jeder kann sich das phpbb runterladen und den quelltext einsehen, womit das parsen der php unrelevant ist..
und wie schnell es geht, bis jemand rausfindet welche files und systeme (z.b. phpbb) auf dem Webserver liegen, zeigt sich in den Logfiles.
(selbst in einem forum, dass irgendwo vergraben und ohne irgendwelche links unf dem webserver liegen, schafft es sogar der googlebot in ein paar stunden drauf rumzutururnen!)
Re: was macht die download/file.php ??
ja, nu. aber bis jetzt hat dieses wissen niemandem genützt.
sonst würden ja schon millionen phpbb3 foren gehackt worden sein
sonst würden ja schon millionen phpbb3 foren gehackt worden sein
doch doch. und wie. dadurch kann der verzeichnis-inhalt nicht aufgelistet werden. um mehr gehts dabei ja nicht. wenn du mir allerdings den trick zeigst, wie du (außer via ftp) den verzeichnis-inhalt (mit einer index.htm im selben verzeichnis) auflisten kannst, bekommst du den hacker-orden am band.wer denkt, dass eine lehre index.htm ein Verzeichniss schützt, der hat sicher noch nichts mit Administration zu tun gehabt!
Re: was macht die download/file.php ??
ich sach nur phpbb.com!
Is zwar kein kein Fehler im eigenen code gewesen, aber hatt trotsdem das ganze system betroffen.
darum vertrau ich auch auch nicht blind jedem code, den ich auf mein webspace werfe.
(ob phpbb selbst, nem mod oder sonst noch)
wegen index kahm schon mir selbst nach 3 sec. ne idee mit brutalforce:
giebt sicher irgendwo ne liste mit den gängisten filenamen und extensions, dann einfach alle mit get durchprobieren, und wenn kein 404 zurückkommt, den verzeichnissbaum dementsprechend zusammenbauen!!
(und echte hacker haben sicher richtige ideen..)
Is zwar kein kein Fehler im eigenen code gewesen, aber hatt trotsdem das ganze system betroffen.
darum vertrau ich auch auch nicht blind jedem code, den ich auf mein webspace werfe.
(ob phpbb selbst, nem mod oder sonst noch)
wegen index kahm schon mir selbst nach 3 sec. ne idee mit brutalforce:
giebt sicher irgendwo ne liste mit den gängisten filenamen und extensions, dann einfach alle mit get durchprobieren, und wenn kein 404 zurückkommt, den verzeichnissbaum dementsprechend zusammenbauen!!
(und echte hacker haben sicher richtige ideen..)
