PHPBB 3 Security tricks

[kellanved]

Allgemein ist es ja bekannt das phpBB sehr viele Sicherheitslücken hat, daher Frage ich auch noch einmal nach

Da stellt sich mir die Frage: wo ist das bekannt?

[ externes Bild ]

phpBB3 genießt momentan mit einigen Abstand den besten Sicherheits-Ruf; selbst phpBB2 hat sich historisch nicht schlechter geschlagen als die kommerziellen Vertreter.

[Robbi der Forenfreak]

Moiin,

naja, denkt doch mal nach z.B. bevor es Vista gab, gab es bereits mehrere DoS für das System, wieso sollte es dann keine exploits für phpBB3 geben?

Meine 3 Exploits die ich für phpBB gefunden habe, habe ich bereits an das support team weiter geleitet, mal gucken was da rauskommt.

Aber trozdem, würd mich mal interessieren, ob einer schon erfahrungen mit dem Hacken von Boarden gemacht hat, bzw. auch weiß wie man sich gegen bestimmte exploits schützen kann. Wäre mir schon sehr hilfreich, dann würde ich mir notfalls selbst ein script dagegen schreiben .

Allgemein ist es ja bekannt das phpBB sehr viele Sicherheitslücken hat, daher Frage ich auch noch einmal nach

Wohlgemerkt: Warum bist du der EINZIGE und damit wirklich der EINZIGE auf dieser Welt der diese 3 Exploit kennst? Glaub mir ich kenne die Seiten wo die Exploits etc. stehen. Ich kenne so viele Exploits für alle mögliche Software. Ich erinnere nochmal an den Exploit für die 2.0.14 Version, der gefixt wurde, wo einige Monate später dann der Exploit für die 2.0.20 veröffentlich würde...

Hör mal. Leute die diese Exploits schreiben, veröffentlichen sie entweder nicht, oder wenn sie es tun, dann gibt es ein großes Aufsehen, weil der 1. Dussel der sie findet seinen Freunden sagt guckt mal was ich habe. Bis dahin sind die Foren natürlich schon gehackt, aber es dauert nicht lange und weg sind sie.

Und schau mal nach wie viele WIRKLICHE Hack-Meldungen in den letzten Jahren (die RCs sind ja schon älter) gab. Nicht viele, und davon waren ja wahrscheinlich (fast) alle wegen schlechten Passwörtern...

...phpBB 3 genießt der Zeit tatsächlich die besten Sicherheitsstatisitiken. Selbst das WBB 2 kann da nicht mithalten (da bei vielen die Updatelizenz ausgelaufen ist, ist der eine Exploit der mittlerweile schon was älter ist bei "Nicht-Neue-Lizenz-Käufern immer noch wirksam).

Allgemein ist es ja bekannt das phpBB sehr viele Sicherheitslücken hat?

Wo hast du denn das her. Das phpBB 3 hat derzeit so ziemlich keine.

Und WENN es eine gibt, wird die fast immer direkt behoben (siehe jetzt das phpBB 3.0.4 Update).

[Boecki91]

Mir ist ein Exploid bekannt das in einer Beta oder RC benutzt werden konnte, es war möglich z.B. den Passwort-Hash eines Users herauszubekommen, für das Exploid brauchte man aber zugang zum Moderationsbereich, das Loch ist aber gefixt.

@Robbi
Bei "Mehlwurm" und Co stehen zwar ein paar Exploids, aber da die Seiten jeder kennt stehen da längst nicht alle.

[Umbekannt]

hmm.... ich weiß 100 pro das ich sie zugeschickt habe.

Aber ob diese funktionieren weiß ich jedoch nicht, aber bin ja ab und zu mal am stöbern nach den dingern, aber nur für private zwecke.

[bantu]

hmm.... ich weiß 100 pro das ich sie zugeschickt habe.

Hi, wenn du uns sagen könntest wohin du sie geschickt hast, würde uns das schonmal weiterhelfen .
Du kannst sie mir auch gerne nochmal zuschicken, oder sie in den phpBB Security Tracker packen.

Gruß,
bantu.

[LisaserstesForum]

Nur wenn du extrem Sicherheitsvernarrt bis kannst du ein Timescript einbauen, was dafür sorgt das erst nach 5 Sekunden ein erneuter Login Versuch möglich ist. So wird die BruteForce-Methode zerstört, da der Test mehrerer Tausend Passwörter wohl relativ unsinnig ist, wenn man 5 Sekunden warten muss... Wenn das nicht schon eingebaut ist.

Könnte mal jemand erklären, wie man das macht oder einen Link zu einer Beschreibung dahin geben?
Habe eine MOD eingebaut, die mir anzeigt, wenn jemand ein falsches Passwort eingegeben hat, und da war irgendwann eine ellenlange Liste und alles an einem Tag, denke das war so eine Attacke, oder wie man das nennt. Ich habe dann die Mitgliederliste so eingestellt, dass nur noch registrierte User darauf zugreifen können. Trotzdem wäre so ein Script schön mit den 5 Sekunden.

[bantu]

Die Funktion ist in ähnlicher Art bereits vorhanden: Nach x-mal falschem Passwort eingeben, muss man das Captcha lösen.

[Robbi der Forenfreak]

Nur wenn du extrem Sicherheitsvernarrt bis kannst du ein Timescript einbauen, was dafür sorgt das erst nach 5 Sekunden ein erneuter Login Versuch möglich ist. So wird die BruteForce-Methode zerstört, da der Test mehrerer Tausend Passwörter wohl relativ unsinnig ist, wenn man 5 Sekunden warten muss... Wenn das nicht schon eingebaut ist.

Könnte mal jemand erklären, wie man das macht oder einen Link zu einer Beschreibung dahin geben?
Habe eine MOD eingebaut, die mir anzeigt, wenn jemand ein falsches Passwort eingegeben hat, und da war irgendwann eine ellenlange Liste und alles an einem Tag, denke das war so eine Attacke, oder wie man das nennt. Ich habe dann die Mitgliederliste so eingestellt, dass nur noch registrierte User darauf zugreifen können. Trotzdem wäre so ein Script schön mit den 5 Sekunden.

Brute-Force-Attacke. Kurz BFA. Ich werde mich heute nachmittag mal dransetzen und eine Suchen.

Die Funktion ist in ähnlicher Art bereits vorhanden: Nach x-mal falschem Passwort eingeben, muss man das Captcha lösen.

Schön wär's ja. Aber es gibt leider ja auch Script die Captcha's auslesen können. Natürlich laufen auch diese nicht perfekt.

Jetzt hätte ich endlich mal eine Idee für einen Mod. Na mal schauen.

hmm.... ich weiß 100 pro das ich sie zugeschickt habe.

Aber ob diese funktionieren weiß ich jedoch nicht, aber bin ja ab und zu mal am stöbern nach den dingern, aber nur für private zwecke.

Also bitte. Der Satz "Aber ob diese funktionieren weiß ich jedoch nicht..." sagt doch schon alles. Hör mal. Ich code einfach ein wenig C++ den eh niemand normales versteht, gib irgendnen Text als Anleitung an fertig ist der Exploit. Ob er funktioniert? Warum sollte er. Er gibt ledeglich ne Nachricht "Haha" aus...

Das kann nun wirklich jeder...

[Boecki91]

Captchas sind doch gut.
Nehmen wir mal an so ein BFA läuft parallelisiert auf 1.000.000 Foren, wird das ganze schlau verteilt würde eine Zeitspanne von x Sekunden Sperre überhaupt nicht ins Gewicht fallen, weil der Server eh diese x Sekunden mit anderen Seiten beschäftigt ist. Die Ideale Methode für einen Flächenangriff, scheiß egal was angegriffen wird, Hauptsache Daten, klingt auch schon wenn man von x Millionen Foren y viele Userpasswörter geklaut hat

Bei Captchas ist es so das wir dem Angriffsserver etwas kosten, sogar etwas sehr wertvolles und zwar Rechenzeit, natürlich können jetzt einzelne Foren massiv angegriffen werden, die große Masse jedoch nicht.

[Dr.Death]

Bisher ist uns noch kein Script bekannt, welches das phpBB3 CAPTCHA lösen kann.... bzw. ihn den Foren die betreibe hat sich kein SPAM BOT einnisten können.