Seite 2 von 3
Verfasst: 14.10.2006 01:16
von cback
mgutt hat geschrieben:Auch weiß ich nun warum er nichts von dem CrackerTracker hält. Er täuscht seiner Meinung nach ein Sicherheitsgefühl vor, welches manche User dazu veranlassen könnte phpBB Updates auf später zu verschieben oder gar nicht durchzuführen.
Genau so habe ich das auch bislang von ihm aufgefasst, obwohl ich die User ja u.a. mit der Hinweisroutine auf phpBB Installation sicher/unsicher im ACP immer gängige Sicherheitshinweise gebe und immer eintrichtere das auf Mods und Foren Updates geachtet werden muss.
Nun aber mit diesem AddOn erreicht er u.U. ja genau das gleiche, ergo wäre seine Argumentation zum CTracker unnötig... naja was solls.
Verfasst: 14.10.2006 02:42
von mgutt
Der Unterschied ist nur, dass er dafür keine "Werbung" gemacht hat, sondern ich diese Zeile per Zufall gefunden und ich deswegen überhaupt darauf aufmerksam gemacht habe. Aber wie Du schon sagst. Egal... mein Topic ist jetzt eh fürn Ar***
Verfasst: 14.10.2006 12:00
von IPB_Flüchtling
@cback:
So, Hand aufs Herz: Dass Dein Dateiscanner bei dem von mgutt verwendeten Shoutbox-Mod angeschlagen hätte, ist klar. Aber hätte der CrackerTracker in seiner jetzigen Form das Cracken der Seite verhindert? Und wenn nein: Kann man da vielleicht in Zukunft etwas machen? (mgutt hat nämlich Folgendes gemeint (s.u.): "Aber da greift kein Securitymod, da die root_path Variable noch vor allen anderen Dateien generiert wurde.")
Ich beziehe mich
auf diesen Thread, und dabei insbesondere
auf diesen und den folgenden Beitrag.
LG, IPB_Flüchtling
Verfasst: 14.10.2006 13:15
von mgutt
IPB_Flüchtling hat geschrieben:@cback:
So, Hand aufs Herz: Dass Dein Dateiscanner bei dem von mgutt verwendeten Shoutbox-Mod angeschlagen hätte, ist klar. Aber hätte der CrackerTracker in seiner jetzigen Form das Cracken der Seite verhindert? Und wenn nein: Kann man da vielleicht in Zukunft etwas machen? (mgutt hat nämlich Folgendes gemeint (s.u.): "Aber da greift kein Securitymod, da die root_path Variable noch vor allen anderen Dateien generiert wurde.")
Ich beziehe mich
auf diesen Thread, und dabei insbesondere
auf diesen und den folgenden Beitrag.
LG, IPB_Flüchtling
Kann er nicht. CrackerTracker und jede andere Sicherheitsmodi kann nichts gegen solch "dumme" Fehler machen. Das ist leider so. Hier hilft nur eine .htaccess:
http://www.phpbb.de/viewtopic.php?p=775787#775787
bzw. das was larsneo geschrieben hat:
http://www.phpbb.de/viewtopic.php?p=775848#775848
Aber mich würde dieser Dateiscanner interessieren. Kann ich den mal testen? (welche Datei?)
Gruß
Verfasst: 14.10.2006 13:43
von IPB_Flüchtling
mgutt hat geschrieben:Aber mich würde dieser Dateiscanner interessieren. Kann ich den mal testen? (welche Datei?)
Der Dateiscanner ist ein Bestandteil des CrackerTracker 5.x - also
www.cback.de - und überprüft Dir sämtliche php-Dateien Deines Boards auf solche "dummen Fehler", wie sie in der Shoutbox.php vorhanden waren.
Wenn Du es testest, veröffentliche bitte das Ergebnis. Denn in dem unwahrscheinlichen Fall, dass der CrackerTracker nicht Alarm geschlagen hätte, müsste diese Routine nachgebessert werden.
LG, IPB_Flüchtling
Verfasst: 14.10.2006 14:04
von mgutt
Dafür müsste ich den Mod installieren. Ich dachte da gäbe es eine extra Tool für.
Probier Du doch mal aus. Die Datei hier wäre unsicher:
Code: Alles auswählen
<?php
$phpbb_root_path = ( !$phpbb_root_path ) ? './' : $phpbb_root_path;
require_once($phpbb_root_path . 'extension.inc');
require_once($phpbb_root_path . 'common.'.$phpEx);
//
// Start session management
//
$userdata = session_pagestart($user_ip, PAGE_INDEX);
init_userprefs($userdata);
//
// End session management
//
// You can remove these lines (than you have to remove the page_tail-part as well)
//
// Please edit the $page-tile as you need it
// in the html code you have to change the forum-name as well
$page_title = 'Hackertest';
include($phpbb_root_path . 'includes/page_header.'.$phpEx);
?>
<b>Hackertest</b>
<?php
// Footer - you can remove the footer, if you remove the header as well
include($phpbb_root_path . 'includes/page_tail.'.$phpEx);
?>
Verfasst: 14.10.2006 14:24
von IPB_Flüchtling
Ahoi,
habe Deine Datei gerade als test.php ins Forum hochgeladen und den CrackerTracker-Dateiscanner drübergejagt.
Er hat für die test.php tatsächlich eine Warnung ausgespuckt:
Code in der Datei ist möglicherweise außerhalb von phpBB ausführbar
LG, IPB_Flüchtling
Verfasst: 14.10.2006 16:14
von mgutt
Ja das ist nur, weil das DEFINE fehlt. Das kannst Du z.b. aus der index.php übernehmen und dann nochmal testen.
Sieht aber nicht so aus, als würde er das erkennen.
Gruß
Verfasst: 14.10.2006 16:53
von IPB_Flüchtling
Ahoi,
so, habe jetzt
define('IN_PHPBB', true);
gleich nach <?php
eingefügt. Jetzt gibt der Dateiscanner folgende Warnmeldung aus:
common.php / pagestart.php möglicherweise nicht oder zu spät eingebunden
LG, IPB_Flüchtling
Verfasst: 14.10.2006 17:29
von S2B
Das ist eine Falschmeldung und sollte korrigiert werden...