Wie ist mein Forum sicher gegen Hacker??????

[Akreb]

hallo leute,

also ich hab im netz ein paar seiten gefunden wo beschrieben wird, wie man durch cookie-manipulation Admin in einem Forum wird...

Code: Alles auswählen

Wie kann ich das verhindern???

Da wurde auch gesagt das man dafür die mitgliederliste sehen muss.

Code: Alles auswählen

wie kann ich die mitgliederliste nur für reg. user zugängig machen?

danke

[Julian87]

Hi,

schau mal hier:

So mache ich mein Board sicher

Mitgliederliste nur für Eingeloggte sichtbar:

Code: Alles auswählen

# 
#-----[ OPEN ]--------------------------------------------- 
# 
groupcp.php 

# 
#-----[ FIND ]--------------------------------------------- 
# 
   if ( isset($HTTP_GET_VARS['validate']) ) 
   { 
      if ( !$userdata['session_logged_in'] ) 
      { 
         redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx&" . POST_GROUPS_URL . "=$group_id", true)); 
      } 
   } 
# 
#-----[ REPLACE WITH ]------------------------------------------ 
# 
   if ( !$userdata['session_logged_in'] ) 
   { 
      redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx&" . POST_GROUPS_URL . "=$group_id", true)); 
   } 

# 
#-----[ FIND ]--------------------------------------------- 
# 
         $s_member_groups = '<select name="' . POST_GROUPS_URL . '">' . $s_member_groups_opt . "</select>"; 
      } 
   } 

# 
#-----[ AFTER, ADD ]--------------------------------------------- 
# 
   else 
   { 
      redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx", true)); 
   } 

# 
#-----[ OPEN ]--------------------------------------------- 
# 
memberlist.php 

# 
#-----[ FIND ]--------------------------------------------- 
# 
init_userprefs($userdata); 

# 
#-----[ AFTER, ADD ]--------------------------------------------- 
# 
if ($userdata['user_id'] == ANONYMOUS) 
{ 
   redirect(append_sid("login.$phpEx?redirect=memberlist.$phpEx", true)); 
} 

# 
#-----[ OPEN ]--------------------------------------------- 
# 
profile.php 

# 
#-----[ FIND ]--------------------------------------------- 
# 
   if ( $mode == 'viewprofile' ) 
   { 

# 
#-----[ AFTER, ADD ]--------------------------------------------- 
# 
      if ($userdata['user_id'] == ANONYMOUS) 
      { 
         redirect(append_sid("login.$phpEx?redirect=profile.$phpEx&mode=viewprofile&" . POST_USERS_URL . '=' . intval($HTTP_GET_VARS[POST_USERS_URL]), true)); 
      } 

# 
#-----[ OPEN ]--------------------------------------------- 
# 
viewonline.php 

# 
#-----[ FIND ]--------------------------------------------- 
# 
init_userprefs($userdata); 

# 
#-----[ AFTER, ADD ]--------------------------------------------- 
# 
if ($userdata['user_id'] == ANONYMOUS) 
{ 
   redirect(append_sid("login.$phpEx?redirect=viewonline.$phpEx", true)); 
} 

# 
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------ 
# 
# EoM

Julian

[Balint]

Hi!


Öffne memberlist.php

Finde

Code: Alles auswählen

// End session management

füge danach ein

Code: Alles auswählen

// Begin 'Restrict Guest Access' MOD
if ( !$userdata['session_logged_in'] )
{
	redirect(append_sid("login.".$phpEx."?redirect=memberlist.".$phpEx, true));
	exit;
}
// End 'Restrict Guest Access' MOD

Viele Grüße,
Bálint

[darkon]

Am sichersten ist es kein Forum zu betreiben Hundertprozentige Sicherheit wird es nie geben, irgendeine Schwachstelle findet sich immer.

Mit dem CrackerTracker von cback bist du schonmal etwas sicherer.


Du kannst in der overall_header.tpl gucken wo der Link zur Mitgliederliste ist.

Dann ergänzt du ihn wie folgt:

Code: Alles auswählen

<!-- BEGIN switch_user_logged_in -->
LINK ZUR MITGLIEDERLISTE
<!-- END switch_user_logged_in -->

(Bei LINK ZUR MITGLIEDERLISTE muß natürlich dein Code für den Link stehen )

[Julian87]

Hi,

darkon dein beispiel verhindert aber lediglich, das user den Link zur Mitgliederliste sehen. Die können aber dennoch über www.forum.de/phpbb2/memberlist.php die Mitgliederliste aufrufen.

Julian

[fanrpg]

1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?
2. Ist so eine Cookie-Manipulation in Version 2.0.21 sowieso (noch) nicht möglich.
3. Der CTracker schützt auch vor Hackern nicht, nur vor Würmern. Also damit hilfts auch nicht.

[Akreb]

Danke euch allen für eure tipps

---------------------------------------------------------------------

Hi!


Öffne memberlist.php

Finde

Code: Alles auswählen

// End session management

füge danach ein

Code: Alles auswählen

// Begin 'Restrict Guest Access' MOD
if ( !$userdata['session_logged_in'] )
{
	redirect(append_sid("login.".$phpEx."?redirect=memberlist.".$phpEx, true));
	exit;
}
// End 'Restrict Guest Access' MOD

Viele Grüße,
Bálint

funktioniert super...danke dir

[Akreb]

1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?

damit kann man die mitgliedsnummer (o.ä) von dem Admin herausfinden und dann die coockies zurechtmachen um admin zu werden. (obwohl der admin doch bestimmt immer der erste user ist oder nicht?! )

[Julian87]

Hi,

wer glaubt ...
Die User ID des Admins (erste User) ist immer "2".

Außerdem halt mal die Maus auf den PN Button oder Profil Button, dann siehst du auch die User ID.

Was sagst du jetzt?

Julian

[fanrpg]

1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?

damit kann man die mitgliedsnummer (o.ä) von dem Admin herausfinden und dann die coockies zurechtmachen um admin zu werden. (obwohl der admin doch bestimmt immer der erste user ist oder nicht?! )

Ausserdem braucht man den session-key vom admin der aber in der session_key Tabelle liegt, um sich ein Cookie zu backen.
No Way ohne zusäztliche Sicherheitslücken.