[erledigt] Registration ohne Angaben möglich

dopppeldecker · Beitrag von **dopppeldecker** » 18.10.2006 19:15

Nachdem ich in unserem Forum ein paar Spam-Anmeldungen hatte habe ich mal die Registrierung gecheckt. Dabei ist mir aufgefallen das es möglich ist fast ohne jegliche Angaben einen Account zu registrieren.

Weder keine Angabe beim Benutzernamen, noch keine Angabe vom Passwort oder das völlig falsch eingeben des Sicherheitscodes erzeugt einen Fehler. Lediglich die Eingabe des geburtsdatums ist nötig um einen Account zu registrieren.

Man kann also einen Account erzeugen völlig ohne Angaben...nur mit eingestelltem Geburtstag. Macht zwar keinen Sinn weil man diese Accounts dann nicht nutzen kann...aber es beunruhigt mich doch sehr.

Falls wer eine Idee hat wo ich den Fehler suchen muß bin ich für jeden Vorschlag sehr dankbar. Braucht jemand ein oder mehrere Dateien um mal nach dem Rechten zu schauen...nur sagen welche ich poste sie dann hier.

Die URL zum Forum: http://chi-freunde.de

Und falls ein Test-Account gebraucht wird:

Name: test
Passwort: test

Miriam · Beitrag von **Miriam** » 18.10.2006 19:34

Kleine Sachen, die mir aufgefallen sind:

Der Neueintrag eines Users in die Tabelle*_im_prefs sollte per INSERT IGNORE erfolgen. Falls der letzte User (von der ID her) gelöscht wurde, bekommt ein sich neu Anmeldender eine Fehlermeldung.
Die Felder sind als Pflichtfelder markiert, obwohl keine Überprüfung stattfindet, ob Werte eingetragen sind.
Du hast evtl. beim Einbau des Abwesenheits-Mods (oder wie der heisst) einen Fehlergemacht....

...Und Du hast ein phpBB2 -- dafür ist das hier das falsche Forum.

dopppeldecker · Beitrag von **dopppeldecker** » 18.10.2006 19:39

Miriam hat geschrieben:Kleine Sachen, die mir aufgefallen sind:
Der Neueintrag eines Users in die Tabelle*_im_prefs sollte per INSERT IGNORE erfolgen. Falls der letzte User (von der ID her) gelöscht wurde, bekommt ein sich neu Anmeldender eine Fehlermeldung.
Die Felder sind als Pflichtfelder markiert, obwohl keine Überprüfung stattfindet, ob Werte eingetragen sind.
Du hast evtl. beim Einbau des Abwesenheits-Mods (oder wie der heisst) einen Fehlergemacht....

...Und Du hast ein phpBB2 -- dafür ist das hier das falsche Forum.

Erst mal Danke für die Infos..werde den Mod und den Einbau mal überprüfen.

Aber wieso ist es das hier falsche Forum ??? Verstehe nicht was Du damit aussagen willst.

dopppeldecker · Beitrag von **dopppeldecker** » 19.10.2006 20:26

So, hatte den Mod mal ausgebaut. Aber geändert hatte sich da nix.

Hat den keiner eine andere Idee wo die Kontrolle der Eingabefelder noch übergangen werden könnte ?

Der Neueintrag eines Users in die Tabelle*_im_prefs sollte per INSERT IGNORE erfolgen. Falls der letzte User (von der ID her) gelöscht wurde, bekommt ein sich neu Anmeldender eine Fehlermeldung.

Wo kann ich das sehen und vorallem ändern ?

Vatex · Beitrag von **Vatex** » 19.10.2006 22:08

INSERT INTO phpbb_im_prefs (user_id, themes_id) VALUES (222, 1)

Line : 1116
File : usercp_register.php

kurz vor der genannten zeile sollte der genannte query auftauchen. einfach ein IGNORE zwischen INSERT und INTO einfügen, dann ist die Fehlermeldung schonmal weg.

Wieso die Registrierungsdaten nicht geprüft werden kann man so nicht ersehen ( http://www.phpbb.de/doku/kb/artikel.php?artikel=81 ).

da der link zu deinem forum phpbb2 beinhaltet ist der erfolg wahrscheinlich auf www.phpbb2.de grösser. wo auch immer der unterschied zum normalen phpbb liegen mag.

Miriam · Beitrag von **Miriam** » 19.10.2006 23:02

Es ist doch eine Plus Version oder nicht? Und ich würde in der usercp_register.php mit dem Suchen anfangen.

dopppeldecker · Beitrag von **dopppeldecker** » 20.10.2006 15:27

Nein, es ist keine Plus Version. Ich baue meine Mods alle schön von Hand ein. Habe das Forum seit Version 2.0.10 und zwar genau von dieser Seite hier (phpbb.de) gedownloadet.

Ich verlinke mal die usercp_register.php. Vielleicht findet da ja jemand mal etwas was ich nicht sehe oder verstehe. Mir fehlt einfach die Ahnung von PHP.

http://chi.rivido.de/phpBB2/temp/usercp_register.txt

Miriam · Beitrag von **Miriam** » 20.10.2006 18:42

dopppeldecker hat geschrieben:Nein, es ist keine Plus Version. Ich baue meine Mods alle schön von Hand ein. Habe das Forum seit Version 2.0.10 und zwar genau von dieser Seite hier (phpbb.de) gedownloadet.

Dann habe ich nichts gesagt...

dopppeldecker · Beitrag von **dopppeldecker** » 20.10.2006 19:46

Ich habe den Fehler betreffenden Mod komplett ausgebaut. Die Fehlermeldung ist weg. Dafür bekomme ich jetzt einen Neue die sagt das die Mail nicht versendet wird.

Sieht so aus:

Code: Alles auswählen

Failed sending email :: PHP ::

DEBUG MODE

Line : 234
File : emailer.php

Bitte keine Hinweise auf die KB. Das bringt mich erstens nicht weiter und zweitens ging es ja vorher auch.

Desweiteren werden bei Registrierung immer noch alle Pflichtfelder ohne Prüfung übergangen. Woran kann das nur liegen ? *verzweifel*