Sicherheit für den Admin

Beitrag von **AWSW** » 07.12.2003 21:28

IMHO eine schöne Idee @schumi

Eine Sache ist mir dazu noch eingefallen:

Wenn man in der admin/admin_ug_auth.php noch nach...

//
// Make admin a user (if already admin) ... ignore if you're trying
// to change yourself from an admin to user!
//
if ( $userdata['user_id'] != $user_id )
{

... den gleichen Code noch mal anfügt:

if ( $user_id == '2' && $userdata['user_id'] != '2' )
{
message_die(GENERAL_MESSAGE, $lang['Not_admin'] );
}

kann man IMHO auch noch verhindern, dass ein anderer Admin den Hauptadmin (UserID=2) zum normalen User degradiert

Beitrag von **oxpus** » 07.12.2003 21:43

Ich habe den Block auch noch nach

Code: Alles auswählen

		if( $HTTP_POST_VARS['deleteuser'] )
		{

und

Code: Alles auswählen

		//
		// Update entry in DB
		//

		if( !$error )
		{

sowie nach

Code: Alles auswählen

	else if( !isset( $HTTP_POST_VARS['submit'] ) && $mode != 'save' && !isset( $HTTP_POST_VARS['avatargallery'] ) && !isset( $HTTP_POST_VARS['submitavatar'] ) && !isset( $HTTP_POST_VARS['cancelavatar'] ) )
	{

eingefügt, um ganz sicher zu sein, dass kein anderer User auch nur die kleinste Kleinigkeit am Administrator-Profil ändern und das in die Datenbank schreiben kann. Also weder Passwort, Email-Adresse, Avatar oder die restlichen Angaben.
Somit kann nur der User 2 selber sein Profil ändern und der Admin-Zugang ist immer gewährleistet.

OXPUS

garfield1909 · Beitrag von **garfield1909** » 07.12.2003 23:15

danke
ich freue mich sehr das ihr mir geholfen habt

bei phpbb2.de habe ich nach ein paar tagen noch immer keine antwort gehabt, danke an alle

ciao
garfield1909

ps: so ist das sicher ein toller security mod!!! (wäre dessen wert)

Der-Wolf · Beitrag von **Der-Wolf** » 10.12.2003 00:36

Hi,
ich habe die obenen beschriebenen Sachen umgeändert und musste mit schrecken feststellen, dass heute 2 User (einer hat sich gerade neuangemeldet) Adminrechte haben. Der neu angemeldete User hatte alle !!! Adminreche. Wie kann sowas passieren.
Ich habe Junior Admin 2.05 installiert und die oben veränderten Dateien eben.
Zum Glück hat mich der neue User sofort angeschrieben. Könnt ihr euch das erlären?

Beitrag von **Acid** » 10.12.2003 14:22

Hast du eventuell noch andere Hacks, die die usercp_register.php ändern, eingebaut ? Wenn dort bei der sql-Anweisung was falsch eingefügt wird, kann sowas passieren.

Beitrag von **AWSW** » 10.12.2003 17:44

Hallo,
ich kenne das nur vom Birthday MOD... Wenn man den falsch einbaut, dann wird jeder zum Admin - steht auch von dem Autor Niels so in der Anleitung...

Beitrag von **AWSW** » 10.12.2003 22:55

Ich hab mir mal erlaubt daraus einen MOD zu basteln: http://www.phpbb.de/viewtopic.php?t=42396 Dabei habe ich festgestellt, dass es offenbar ausreicht jeder der beiden oben schon erwähnten Dateien nur an einer Stelle zu modifizieren, damit das klappt

Der Wolf · Beitrag von **Der Wolf** » 10.12.2003 23:04

Hi,
hmm, meines Wissens habe ich an der usercp_register.php nix geändert. Den Birthday Mod habe ich auch nicht installiert.

Der User der mich darauf aufmerksam gemacht hat, sagte mir, das er Admin in einem anderem phpbb Forum ist, wo er sich mit dem gleichen Namen / Passwort anmeldet.
Kann es am Cookie liegen, der sowas speichert und beim nächsten phpbb.de Board denkt, das er auch Adminrechte hat (wie auch immer das gehen mag)??

garfield1909 · Beitrag von **garfield1909** » 11.12.2003 18:38

habe es getestet und bestätige, dass bei mir keine admin rechte vergeben werden

der mod fkt super ohne problem bzw fehler

ciao
garfield1909

danke das er zum mod wurde

Der Wolf · Beitrag von **Der Wolf** » 11.12.2003 20:27

Ich konnte den Fehler ja auch nicht reproduzieren. Das ist ja das komische. Ich habe selbst mehrer neue User angemeldet und ein paar Freunde von mir auch. Alles klappte einwandfrei, ohne das sie Adminrechte hatten.

Kann es wie oben beschrieben am Cookie liegen?
Ich hatte voher im ACP die Cookie einstellungen mit den Standardwerten. Habe es jetzt (wie hier im Forum mal beschrieben wurde) etwas angepasst. Hoffe das dort der Fehler lag.