Seltsames Problem bei der registrierung eines neuen Users

DreamPromise · Beitrag von **DreamPromise** » 03.06.2006 11:24

Moin moin

heute hat sich ein neuer User angemeldet.
Bei mir ist die Konfiguration so eingestellt das User ihr Geburtsdatum angeben müßen sonst ist keine Registrierung möglich.
Genau so ist auch Eingestellt das man Angeben muß ob männlich oder weiblich ist.

Aber dennoch hat es ein User geschafft diese zu umgehen.

Also hab ich mal versucht einen Testaccount anzulegen mit diesen Vorraussetzungen.

Bei mir ging es nicht.....es kamen immer die Meldungen das mal halt die betreffenden Felder aufüllen MUSS.

Gibt es denn schon Hinweise auf ewt. Bugs ???

DP

DreamPromise · Beitrag von **DreamPromise** » 04.06.2006 18:54

h-o · Beitrag von **h-o** » 05.06.2006 12:44

Wir dürfen mal annehmen, es handelt sich um das Birthday MOD von Niels (es gibt noch ein paar andere...)?

Entscheidend ist vor allen Dingen der Code in usercp_register.php:

Code: Alles auswählen

// find the birthday values, reflected by the $lang['Submit_date_format']
	if ($b_day || $b_md || $b_year) //if a birthday is submited, then validate it
	{

[...]

	} else
	{
		if ($board_config['birthday_required'])
		{
			$error = TRUE;
			if( isset($error_msg) )$error_msg .= "<br />";
			$error_msg .= sprintf($lang['Birthday_require']);
		}
		$birthday = 999999;
	}

Eine Sicherheitslücke gab's vor längerer Zeit mal in einigen Modifikationen von Niels, aber soweit ich weiß nur nicht im Birthday MOD, sondern im Gender MOD, und dabei gings auch nicht um einfaches Überspringen von Daten bei der Registrierung, sondern "nur" um Einschleusen von SQL-Code

DreamPromise · Beitrag von **DreamPromise** » 05.06.2006 15:30

Moin moin

also den Gender-Mod hab ich auch installiert.
Auch von Niels
Wie kann man denn das Problem nun lösen ?
Oder muß man damit leben ??

Danke schon mal

DP

h-o · Beitrag von **h-o** » 05.06.2006 15:35

DreamPromise hat geschrieben:Oder muß man damit leben ??

Mal davon abgesehen, dass ich das grundsätzlich nicht für so schlimm halte, wenn Leute ihr Geburtsdatum nicht preisgeben wollen, dürfte der Fehler im Birthday MOD trotzdem nicht passieren

Falls du Zeit hast, kannst du mal die usercp_register.php bereitstellen, sofern sie nicht zu sehr "zugeMODded ist"...

DreamPromise · Beitrag von **DreamPromise** » 05.06.2006 15:39

Moin moin

usercp_register.php

Bitteschööön

DP

h-o · Beitrag von **h-o** » 05.06.2006 16:43

Hmm, das Gender-MOD hast du wohl ein wenig erweitert (ebenfalls eine Angabepflicht), aber das Birthday MOD scheint korrekt eingebaut zu sein. Seltsam.

Entferne trotzdem mal bei Gelegenheit in der Zeile

Code: Alles auswählen

// $error = FALSE;

die beiden Schrägstriche, denn wenn $error gar nicht belegt ist, kann alles Mögliche passieren

Und auch wenn es wohl keine direkten Auswirkungen auf das eigentliche Problem haben dürfte: Statt

Code: Alles auswählen

$user_active = 'user_active';
$user_actkey = 'user_actkey';

müsste es laut Original-usercp_register.php eigentlich heißen:

Code: Alles auswählen

$user_active = 1;
$user_actkey = '';

Evtl. kannst du mal direkt im Supportforum von Niels nachfragen.

DreamPromise · Beitrag von **DreamPromise** » 05.06.2006 17:12

Moin moin

ok...hab das alles abgeändert.
Die Frage ist nurnoch WIE sie es geschafft haben ???

DP