Hallo zusammen,
unser Club betreibt seit Jahren ein Forum mit phpbb 3.0.12
Dieses Forum ist unterteilt in einen öffentlichen und einen nichtöffentlichen Bereich.
Nicht registrierte Benutzer (Gäste) können/sollen nur im öffentlichen Bereich lesen aber nicht schreiben.
Registrierte Benutzer können/sollen nur im öffentlichen Bereich zusätzlich schreiben.
Registrierte Benutzer die Clubmitglieder sind können zusätzlich noch in internen Bereich lesen und schreiben.
Bisher hat es auch zuverlässig funktioniert. Rechtevergabe ist auch überprüft (mit Testusern). Auf der Oberfläche funktioniert es auch.
Heute hatte ich aber einen Beitrag eines registrierten Users (Nicht Clubmitglied) im internen Bereich. Das ist für mich total schleierhaft wie das gehen kann.
Ich habe den Verdacht, dass man über die Manipulation der Adresszeile dort hingelangen kann. In der Adresszeile steht
".../viewforum.php?f=5&sid=7e..."
wenn man anstatt "?f=5" (ich vermute Forum=5) "?f=15" in der Adressleiste eingibt, ist man auch als Gast in dem eigentlich für ihn gesperrten internen Bereich des Forums.
Ist das nun ein Rechteproblem oder eine Sicherheitslücke?
Wie kann man das Forum von PHP GET auf POST umstellen um diese Lücke zu umgehen? Da reichen meine PHP Kenntnisse nicht mehr aus.
Sicherheits oder Rechteproblem?
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Sicherheits oder Rechteproblem?
Gruss, Miriam.
Ich schmeiß' alles hin und...
... lasse es liegen
Ich schmeiß' alles hin und...
... lasse es liegen
Re: Sicherheits oder Rechteproblem?
Hallo Miriam,
danke, erst mal für die schnelle Antwort. Die Links hatte ich auch schon gelesen.
Das Problem lag tatsächlich an den effekiven Rechten.
Für die registrierten User war alles auf ROT (keine Leseberechtigung in diesem Forum) OK!
Jetzt wird es aber komisch:
Die effektiven Rechte für die Gäste waren aber teilweise auf Grün (Leseberechtigung in diesem Forum)
In den Forumsrechten für Gäste stand es in diesem Forum aber auf NEIN (!).
Erst als ich die Forenrechte für Gäste in diesem Forum auf NIE gesetzt habe wurden die effektiven Rechte auch richtig angezeigt und alles funktioniert wie erwartet.
Selbst eine Manipulation der Adresszeile ist jetzt ausgeschlossen.
Ich hatte zwischenzeitlich auch schon die index.php in einem Frame aufgerufen um die Parameteranzeige zu unterbinden, aber das ist eine leicht zu durchschauende Krücke.
Gruß
Ulrich
PS: nicht alles was man nicht versteht ist falsch.
danke, erst mal für die schnelle Antwort. Die Links hatte ich auch schon gelesen.
Das Problem lag tatsächlich an den effekiven Rechten.
Für die registrierten User war alles auf ROT (keine Leseberechtigung in diesem Forum) OK!
Jetzt wird es aber komisch:
Die effektiven Rechte für die Gäste waren aber teilweise auf Grün (Leseberechtigung in diesem Forum)
In den Forumsrechten für Gäste stand es in diesem Forum aber auf NEIN (!).
Erst als ich die Forenrechte für Gäste in diesem Forum auf NIE gesetzt habe wurden die effektiven Rechte auch richtig angezeigt und alles funktioniert wie erwartet.
Selbst eine Manipulation der Adresszeile ist jetzt ausgeschlossen.
Ich hatte zwischenzeitlich auch schon die index.php in einem Frame aufgerufen um die Parameteranzeige zu unterbinden, aber das ist eine leicht zu durchschauende Krücke.
Gruß
Ulrich
PS: nicht alles was man nicht versteht ist falsch.
-
HabNurNeFrage
- Ehemaliges Teammitglied
- Beiträge: 1627
- Registriert: 17.01.2010 20:22
- Wohnort: An der Ostsee
- Kontaktdaten:
Re: Sicherheits oder Rechteproblem?
Hi,
bei richtiger Rechtevergabe kann man in die Adresszeile eingeben was man will.
Wenn phpBB so einfach auszutricksen wäre, hätte man davon bestimmt schon mal gehört
LG
bei richtiger Rechtevergabe kann man in die Adresszeile eingeben was man will.
Wenn phpBB so einfach auszutricksen wäre, hätte man davon bestimmt schon mal gehört
LG
| HomeStory.org - the friendly Community | Forum für alle Lebenslagen | <"}))}~ | Nicht nachmachen: Meine phpBB Spielereien |
var shoppen = geld.replace (/geld/g, 'bloedsinn'); if (geld < 1) { return home; };
var shoppen = geld.replace (/geld/g, 'bloedsinn'); if (geld < 1) { return home; };
Re: Sicherheits oder Rechteproblem?
// Vor allem würde es phpBB nicht mehr geben, weil es Schrott wäre.
Gruss, Miriam.
Ich schmeiß' alles hin und...
... lasse es liegen
Ich schmeiß' alles hin und...
... lasse es liegen
