phpBB.de

... aber immer noch möglich und daher besser ganz weg mit dieser Datei...

THX...

also die db utilities sind eh fürn A**** ... Wo ich Noob war wurde mir mein Forum dadurch bei einem Transfer schonmal halb zerstört....

Naja, aber wie ich das hier rausnehme kann ich sie einfach umbenennen? Oder soll ich sie löschen?

Ich werde dann jedenfalls nichts missen...

oxpus hat geschrieben:... aber immer noch möglich und daher besser ganz weg mit dieser Datei...

Grundsätzlich : D'accord. Sinnlose Datei, erlaubt Admins zuviel.



Aber wenn man von einem Problem sprechen kann, so liegt es darin, daß bei dem Betreten des ACPs keine neue Sessionid für die Adminsession vergeben wird (übrigends immerhin: die Adminsession muß ins ACP eingeloggt sein).
Unter der Prämisse: Angreifer kommt aus dem gleichen Subnetz, hat eine gültige SessionID eines Admins und die Session ist ins ACP eingeloggt, kann auch z.B. die Nutzerverwaltung für Beförderungen verwendet werden.

larsneo hat geschrieben:der schutz des admin-verzeichnissen via .htaccess ist sicherlich imer eine gute idee...

Nur nochmals zur Erinnerung, falls manche von Euch diesen Hinweis überlesen oder erst gar nicht gesehen haben.

Das ist der beste Tip, den ich hier im ganzen Thread sah.

Gruß,
Tekin

hab mal ne ganz dumme frage, man kann doch nur diese formate als avatar hochladen:
gif, png, jpg

wie kann man da andere formate zu hacken hochladen

annilein hat geschrieben:hab mal ne ganz dumme frage, man kann doch nur diese formate als avatar hochladen:
gif, png, jpg

wie kann man da andere formate zu hacken hochladen

Kann man nicht. Der Trick ist vielmehr eines dieser Formate hochzuladen.

wie soll das gehen?

Stichwort: Kommentarfeld. Kommentare in Bildern werden von anderen Programmen ausgewertetet. Ob HTML oder PHP - in einer Bilddatei kann alles sein, ohne dadurch invalid zu werden.
Die Gefahr liegt nicht im Hochladen, sondern darin ein anderes Programm dazu zu bekommen, das Bild als etwas anderes zu verwerten.

Häufigstes Beispiel: XSS im Internet Explorer.