Wenn jemand die Hacks benutzt, sollte er sich unbedingt diese Postings durchlesen:
Offenbar Sicherheitsproblem im YellowCard MOD
http://www.phpbb.de/viewtopic.php?t=15680
Sicherheitsloch im Custom Mass PM Mod!!
http://www.phpbb.de/viewtopic.php?t=13300
Bugfix für Gender Hack (behebt ein Sicherheitsloch)
http://www.phpbb.de/viewtopic.php?t=12896
Security Bugs
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
Pumi
- Mitglied
- Beiträge: 752
- Registriert: 04.10.2002 13:38
- Wohnort: Schwabenland - Germany
- Kontaktdaten:
Links nicht arg hilfreich
Die beiden unteren Links sind nicht so arg hilfreich -> "das gewählte Thema oder der Beitragexistiert nicht"
Schade eigentlich
Schade eigentlich
Naja, reicht auch, wenn man einfach die neuesten Versionen benutzt... 
° Card Ban System
° Custom Mass PM
° Gender Hack
° Card Ban System
° Custom Mass PM
° Gender Hack
Jeder der den Advanced Quick Reply Hack (von RustyDragon) benutzt, sollte diesen vorerst ausbauen, da dieser ein Sicherheitsloch enthält.
Durch´n kleinen Fehler im Code kann man von aussen über die quick_reply.php die DB-Zugangsdaten auslesen.
Es ist zwar scho ein Fix bekannt, aber noch ned 100%ig geprüft...
Durch´n kleinen Fehler im Code kann man von aussen über die quick_reply.php die DB-Zugangsdaten auslesen.
Es ist zwar scho ein Fix bekannt, aber noch ned 100%ig geprüft...
Ok, der Advanced Quick Reply Hack ist wieder "sicher".
quick_reply.php
++FINDE++
++DAVOR EINFÜGEN++
quick_reply.php
++FINDE++
Code: Alles auswählen
if ( $mode == 'smilies' )
{Code: Alles auswählen
$phpbb_root_path = "./";und noch mehr:
Eine mail von Niels Chr. Denmark (oder wie er heißt)
Eine mail von Niels Chr. Denmark (oder wie er heißt
)I have to discovered a potential security risk in my Auto group mod
guest users will be at pressent time added to a autogroup, some users may wish this to happen, but I consider this a a security risk, and have therefor change the behaiver of this mod
users witch have installed either the Auto group mod, or a previous version of the pre-loaded pack are adviced to read this post
http://mods.db9.dk/viewtopic.php?p=3714#3714
witch will show how to upgrade, and remove this isue
Hallo,
habe heute diese Mail von Niels erhalten, die auf einen Bug im Birthday MOD hinweist:
habe heute diese Mail von Niels erhalten, die auf einen Bug im Birthday MOD hinweist:
Die folgende Email erhältst du von einem Administrator von mods.db9.dk. Wenn diese E-Mail unerwünschten Inhalt (Spam) enthält, dann kontaktiere bitte den Webmaster unter:
ncr@db9.dk
Schick dazu bitte die ganze Nachricht, Header inklusive, mit.
Die Nachricht findest du hier:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
the how-to for birthday mod PART version 1.3.14 did have a potential security bug - this ONLY apply to version 1.3.14 witch have been pressent this version have been availble for download until now in may 2003
the bug would in special cases allow users to have admin access at your forum, in most cases this would not have happend, but the bug must be corrected to avoid future problems
if you have installed this version, please read this posts
http://mods.db9.dk/viewtopic.php?p=9120#9120
the post following rigth after will show how to run a SQL witch will make shure no users have already got admin access
LEIDER DAUERHAFT OFFLINE & Ich beantworte keine Fragen zu phpBB per Mail oder PN !
Hinweis: awsw.de ist nun dauerhaft offline. Die MODs könnt Ihr hier in der Datenbank finden.
Bitte keine Anfragen senden, ob ich die MODs anderweitig senden kann - es geht nicht - Danke für Euer Verständnis !
Hinweis: awsw.de ist nun dauerhaft offline. Die MODs könnt Ihr hier in der Datenbank finden.
Bitte keine Anfragen senden, ob ich die MODs anderweitig senden kann - es geht nicht - Danke für Euer Verständnis !
Hi, ich habe diesen Birthday-Mod eingebaut, Version 1.5.2.
Ich habe sehr konzentriert gearbeitet um keinen Fehler zu machen.
Vor allem nicht an dieser Stelle:
Doch trotzdem ist der Bug aufgeteten. Neue User, die sich bei mir registrieren sind automatisch Admins 
Ich habe nochmal alles durchgeschaut und nach Fehlern gesucht, aber keine gefunden.
Könnt Ihr mal meine "usercp_register.txt" checken?
http://www.peggy-para.de/Privat/usercp_register.txt
Bin für Hilfe sehr dankbar!
Ich habe sehr konzentriert gearbeitet um keinen Fehler zu machen.
Vor allem nicht an dieser Stelle:
Code: Alles auswählen
#
#-----[ FIND ]------------------------------------------
#
# NOTIS - IMPORTENT SECURITY RISK
#
# If you some how do not preform the following VERY carefully you have the
# potential to compromise your forum SECURITY, your users may easyly get ADMIN access if you make mistake
# meny users do make mistake in the step, so please be very careful
#
$sql = "INSERT INTO " . USERS_TABLE . "
VALUES ($user_id,
#
#-----[ IN-LINE FIND ]------------------------------------------
#
, user_active, user_actkey,)
VALUES
#
#-----[ IN-LINE BEFORE, ADD ]------------------------------------------
#
, user_birthday, user_next_birthday_greeting
#
#-----[ IN-LINE FIND ]------------------------------------------
#
,";
#
#-----[ IN-LINE BEFORE, ADD ]------------------------------------------
#
,'$birthday','$next_birthday_greeting'Ich habe nochmal alles durchgeschaut und nach Fehlern gesucht, aber keine gefunden.
Könnt Ihr mal meine "usercp_register.txt" checken?
http://www.peggy-para.de/Privat/usercp_register.txt
Bin für Hilfe sehr dankbar!
