Dann erkläre mir bitte den Sinn dieser If-Anweisung. Ich finde es wirklich gut, das ihr helfen wollt und tut, aber sinnvoll sollte es meines Erachtens dann schon sein.fanrpg hat geschrieben:gar nicht.Wie soll da jemals FALSE heraus kommen?
Remote Exploit unter 2.0.20 und .21?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
-
Fennias Maxim
- Mitglied
- Beiträge: 489
- Registriert: 12.08.2005 20:16
- Wohnort: Technodrome
- Kontaktdaten:
Und genau hier setzt XSS an. Der Code befindet sich z.B. im Avatar, der dann auf den Webspace des Forums geladen wird. Und schon darf auch das script im Bild das Cookie auslesen.cYbercOsmOnauT hat geschrieben: ein Cookie kann von einer externen Quelle nicht ausgelesen werden.
Tekin
50% aller Fragen können mit der Knowledge Base oder der Forensuche beantwortet werden!
Warum hast du also diesen Thread hier eröffnet?
Warum hast du also diesen Thread hier eröffnet?
-
Gumfuzi
- Ehemaliges Teammitglied
- Beiträge: 2454
- Registriert: 26.03.2004 22:25
- Wohnort: Linz, AT
- Kontaktdaten:
Wenn dem wirklich so sein sollte, wie kann man dann die SID von den remote Avataren "abschalten"?TK hat geschrieben:Verlinkte Avatare sind das gefährlichste überhaupt: Wenn z.B. jemand ohne Cookies im Forum surft, dann wird bei ihm immer die SID in der URL angehängt. Wenn jetzt ein fremdes Bild von einem anderen Server als Avatar in den Foren-Seiten "eingebettet" geladen wird, dann erscheint in den Server-Logs des fremden Servers die URL, von der das Bild angefordert wurde. Also die URL mit SID. Wenn nun jemand seine Server-Logs zeitnah überwacht, kann er einfach diese URL aufrufen und ist automatisch eingeloggt als das Mitglied, das ohne Cookies im Forum unterwegs war oder immer noch ist (es sei denn, die SID wäre inzwischen ungültig -> da ausgeloggt - wenn der "Hijacker-Angriff" aber zeitnah geschieht, klappt es ohne Probleme). Wenn dieses Mitglied dann auch noch ein Admin/Moderator ist...
Gar nicht. Die SID ist ja nicht an der URL des Bildes angehängt, sondern in der URL von der Seite, in der das Bild eingebaut ist, also von wo aus das Bild aufgerufen wird, in phpBB also der viewtopic.php.
Und der URL-Referrer des Bildes wird in den Server-Logs gespeichert, also kann derjenige, der das Bild bereitgestellt hat, auch diese URLs und damit auch die SID einsehen.
Das Bild muss dafür auch gar nicht speziell präpariert sein, es geht mit jedem normalen Bild.
Das funktioniert natürlich nur, wenn ein eingeloggtes Mitglied ohne Cookies surft, also die SID immer angehängt werden muss.
Es sind zwar nicht viele, die ohne Cookies surfen bzw. diese unterdrücken, aber wie ich meinen Web-Logs entnehmen kann, sind es dennoch ca. 5-10%. Und bei großen Communities wie diese hier ließe sich damit immer noch eine Menge "Opfer" finden.
Es geht auch mit Bildern, die per [IMG]-Tag im Beitrag eingebaut werden (oder in der Sig sind), oder auch mit Links (wo aber immer noch jemand draufklicken muss).
Das würde sogar hier auf phpbb.de funktionieren. Bzw. nicht nur würde, es funktioniert.
Um dieses Risiko, dass die SID von Dritten herausgefunden werden kann, komplett zu unterbinden, muss man entweder Mitglieder ausschließen, die ohne Cookies surfen, indem man die Funktionalität der Login-Möglichkeit ohne Cookies im phpBB-Code entfernt, oder aber man verbietet Remote Avatars, [IMG]-Tags und lässt Links nur noch über einen Forwarder laufen, damit die Referrer-Info "vernichtet" wird...
Anmerkung: Dieser hier erwähnte Remote Exploit mit 2.0.20 ist also in Kombination mit dieser von mir beschriebenen Art, um an die SID heranzukommen, anwendbar und daher auch gefährlich.
Das "Hijacken" eines Accounts selber aber (ohne Zuhilfenahme eines Exploits) sollte nur bei Foren funktionieren, die wegen Login-Problemen ("Benutzer werden immer asugeloggt") den Sicherheits-Check im Code, ob sich die IP verändert hat, abgeschwächt haben (siehe -> http://www.phpbb.de/viewtopic.php?p=111505#111505)
Und der URL-Referrer des Bildes wird in den Server-Logs gespeichert, also kann derjenige, der das Bild bereitgestellt hat, auch diese URLs und damit auch die SID einsehen.
Das Bild muss dafür auch gar nicht speziell präpariert sein, es geht mit jedem normalen Bild.
Das funktioniert natürlich nur, wenn ein eingeloggtes Mitglied ohne Cookies surft, also die SID immer angehängt werden muss.
Es sind zwar nicht viele, die ohne Cookies surfen bzw. diese unterdrücken, aber wie ich meinen Web-Logs entnehmen kann, sind es dennoch ca. 5-10%. Und bei großen Communities wie diese hier ließe sich damit immer noch eine Menge "Opfer" finden.
Es geht auch mit Bildern, die per [IMG]-Tag im Beitrag eingebaut werden (oder in der Sig sind), oder auch mit Links (wo aber immer noch jemand draufklicken muss).
Das würde sogar hier auf phpbb.de funktionieren. Bzw. nicht nur würde, es funktioniert.
Um dieses Risiko, dass die SID von Dritten herausgefunden werden kann, komplett zu unterbinden, muss man entweder Mitglieder ausschließen, die ohne Cookies surfen, indem man die Funktionalität der Login-Möglichkeit ohne Cookies im phpBB-Code entfernt, oder aber man verbietet Remote Avatars, [IMG]-Tags und lässt Links nur noch über einen Forwarder laufen, damit die Referrer-Info "vernichtet" wird...
Anmerkung: Dieser hier erwähnte Remote Exploit mit 2.0.20 ist also in Kombination mit dieser von mir beschriebenen Art, um an die SID heranzukommen, anwendbar und daher auch gefährlich.
Das "Hijacken" eines Accounts selber aber (ohne Zuhilfenahme eines Exploits) sollte nur bei Foren funktionieren, die wegen Login-Problemen ("Benutzer werden immer asugeloggt") den Sicherheits-Check im Code, ob sich die IP verändert hat, abgeschwächt haben (siehe -> http://www.phpbb.de/viewtopic.php?p=111505#111505)
Meine Signatur war zu groß und wurde deshalb gelöscht - Siehe phpBB.de-Knigge
-
IPB_Flüchtling
- Mitglied
- Beiträge: 1862
- Registriert: 23.12.2004 22:46
Danke für die sehr interessanten Ausführungen, TK!
Kurze Frage: Ich erlaube das Hochladen von Avataren, nicht aber deren Verlinkung, und habe die admin/db_utilities.php gelöscht. Bin ich somit (derzeit halt) wieder auf der sicheren Seite?
Oder sollten noch zusätzliche Maßnahmen ergriffen werden? Wenn ja, welche? Muss man wirklich den IMG-Tag oder das Einloggen ohne Cookies verbieten?
LG, IPB_Flüchtling
Kurze Frage: Ich erlaube das Hochladen von Avataren, nicht aber deren Verlinkung, und habe die admin/db_utilities.php gelöscht. Bin ich somit (derzeit halt) wieder auf der sicheren Seite?
Oder sollten noch zusätzliche Maßnahmen ergriffen werden? Wenn ja, welche? Muss man wirklich den IMG-Tag oder das Einloggen ohne Cookies verbieten?
LG, IPB_Flüchtling
