phpBB.de

fanrpg hat geschrieben:

Wie soll da jemals FALSE heraus kommen?

gar nicht.

Dann erkläre mir bitte den Sinn dieser If-Anweisung. Ich finde es wirklich gut, das ihr helfen wollt und tut, aber sinnvoll sollte es meines Erachtens dann schon sein.

cYbercOsmOnauT hat geschrieben: ein Cookie kann von einer externen Quelle nicht ausgelesen werden.
Tekin

Und genau hier setzt XSS an. Der Code befindet sich z.B. im Avatar, der dann auf den Webspace des Forums geladen wird. Und schon darf auch das script im Bild das Cookie auslesen.

cYbercOsmOnauT hat geschrieben:

fanrpg hat geschrieben:

Wie soll da jemals FALSE heraus kommen?

gar nicht.

Dann erkläre mir bitte den Sinn dieser If-Anweisung. Ich finde es wirklich gut, das ihr helfen wollt und tut, aber sinnvoll sollte es meines Erachtens dann schon sein.

Zu viel Copy & Paste

TK hat geschrieben:Verlinkte Avatare sind das gefährlichste überhaupt: Wenn z.B. jemand ohne Cookies im Forum surft, dann wird bei ihm immer die SID in der URL angehängt. Wenn jetzt ein fremdes Bild von einem anderen Server als Avatar in den Foren-Seiten "eingebettet" geladen wird, dann erscheint in den Server-Logs des fremden Servers die URL, von der das Bild angefordert wurde. Also die URL mit SID. Wenn nun jemand seine Server-Logs zeitnah überwacht, kann er einfach diese URL aufrufen und ist automatisch eingeloggt als das Mitglied, das ohne Cookies im Forum unterwegs war oder immer noch ist (es sei denn, die SID wäre inzwischen ungültig -> da ausgeloggt - wenn der "Hijacker-Angriff" aber zeitnah geschieht, klappt es ohne Probleme). Wenn dieses Mitglied dann auch noch ein Admin/Moderator ist...

Wenn dem wirklich so sein sollte, wie kann man dann die SID von den remote Avataren "abschalten"?

Gar nicht. Die SID ist ja nicht an der URL des Bildes angehängt, sondern in der URL von der Seite, in der das Bild eingebaut ist, also von wo aus das Bild aufgerufen wird, in phpBB also der viewtopic.php.
Und der URL-Referrer des Bildes wird in den Server-Logs gespeichert, also kann derjenige, der das Bild bereitgestellt hat, auch diese URLs und damit auch die SID einsehen.
Das Bild muss dafür auch gar nicht speziell präpariert sein, es geht mit jedem normalen Bild.

Das funktioniert natürlich nur, wenn ein eingeloggtes Mitglied ohne Cookies surft, also die SID immer angehängt werden muss.
Es sind zwar nicht viele, die ohne Cookies surfen bzw. diese unterdrücken, aber wie ich meinen Web-Logs entnehmen kann, sind es dennoch ca. 5-10%. Und bei großen Communities wie diese hier ließe sich damit immer noch eine Menge "Opfer" finden.

Es geht auch mit Bildern, die per [IMG]-Tag im Beitrag eingebaut werden (oder in der Sig sind), oder auch mit Links (wo aber immer noch jemand draufklicken muss).

Das würde sogar hier auf phpbb.de funktionieren. Bzw. nicht nur würde, es funktioniert.


Um dieses Risiko, dass die SID von Dritten herausgefunden werden kann, komplett zu unterbinden, muss man entweder Mitglieder ausschließen, die ohne Cookies surfen, indem man die Funktionalität der Login-Möglichkeit ohne Cookies im phpBB-Code entfernt, oder aber man verbietet Remote Avatars, [IMG]-Tags und lässt Links nur noch über einen Forwarder laufen, damit die Referrer-Info "vernichtet" wird...


Anmerkung: Dieser hier erwähnte Remote Exploit mit 2.0.20 ist also in Kombination mit dieser von mir beschriebenen Art, um an die SID heranzukommen, anwendbar und daher auch gefährlich.

Das "Hijacken" eines Accounts selber aber (ohne Zuhilfenahme eines Exploits) sollte nur bei Foren funktionieren, die wegen Login-Problemen ("Benutzer werden immer asugeloggt") den Sicherheits-Check im Code, ob sich die IP verändert hat, abgeschwächt haben (siehe -> http://www.phpbb.de/viewtopic.php?p=111505#111505)

Danke für die sehr interessanten Ausführungen, TK!

Kurze Frage: Ich erlaube das Hochladen von Avataren, nicht aber deren Verlinkung, und habe die admin/db_utilities.php gelöscht. Bin ich somit (derzeit halt) wieder auf der sicheren Seite?
Oder sollten noch zusätzliche Maßnahmen ergriffen werden? Wenn ja, welche? Muss man wirklich den IMG-Tag oder das Einloggen ohne Cookies verbieten?

LG, IPB_Flüchtling

der schutz des admin-verzeichnissen via .htaccess ist sicherlich imer eine gute idee...

larsneo hat geschrieben:der schutz des admin-verzeichnissen via .htaccess ist sicherlich imer eine gute idee...

in dem Fall ausreichend?

Ja

... aber nur für den Admin-Bereich, für normale Mods (=keine Jr.Admins) bzw. "normale" user ist das wohl kein Schutz.