phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Fragwürdige Hackversuche?

https://www.phpbb.de/community/viewtopic.php?t=106457

Seite 1 von 1

Fragwürdige Hackversuche?

Verfasst: 15.12.2005 21:48
von fanrpg
http://www.fanrpg.de/mods/show_ip.php?e ... 35.179.228
Guckt euch das mal an was der da alles versucht hat, zum Glück habe ich mich vor so nem Zeug alles abgesichert.

Aber jetzt meine Fragen:

1) Sind das nur Spielereien aus Langeweile oder wirkliche Hackversuche?
2) Was für Sicherheitslücken kann folgende Methode haben? (Damit man fremde Code includen kann)

Code: Alles auswählen

if($mode == 'include')
{
	switch( $path ) {
		case 'start':
		include($cms_root_path . 'start.'.$phpEx);
		break;
		case 'mods':
		include($cms_root_path . 'mods.'.$phpEx);
		break;
		case 'modsschreiben':
		include($cms_root_path . 'modsschreiben.'.$phpEx);
		break;
		case 'modsgefahren':
		include($cms_root_path . 'modsgefahren.'.$phpEx);
		break;
		case 'links':
		include($cms_root_path . 'links.'.$phpEx);
		break;
		case 'downloads':
		include($cms_root_path . 'downloads.'.$phpEx);
		break;		
		default:
		die('<meta http-equiv="refresh" content="0; url='.$phpbb_root_path . 'cms.'.$phpEx.'?mode=error&site=404" />');
	}
}
else if($mode == "error")
{
	switch( $path ) {
		case 404:
		message_die(GENERAL_ERROR, 'Kann die Seite nicht finden - File not Found #404', '', '', '', '');
		break;
		case 600:
		message_die(GENERAL_ERROR, 'Du hast hier keinen Zugriff drauf', '', '', '', '');
		break;
		case 500:
		message_die(GENERAL_ERROR, 'Der Server konnte die Anfrage nicht bearbeiten', '', '', '', '');
		break;
		default:
		die('<meta http-equiv="refresh" content="0; url='.$phpbb_root_path . 'cms.'.$phpEx.'?mode=error&site=500" />');
	}
}

Verfasst: 16.12.2005 00:23
von QCO
Also potentiell gefährlich ist hier alles, was innerhalb von include() auftaucht.
Das wären aber nur $cms_root_path und $phpEx.
Du musst darauf achten, dass die beiden immer initalisiert sind, damit man sie nicht über register_globals oder andere dunkle wege setzen kann.

Verfasst: 16.12.2005 09:38
von IPB_Flüchtling
@fanrpg:

Ich finde, Du solltest das nicht auf sich beruhen lassen und weitere Schritte gegen den lieben Menschen einleiten, der da versucht hat, Dich zu schädigen.

An wen Du Dich wenden kannst, findest Du hier: http://whois.sc/83.135.179.228

Solche Leute gehören einfach aus dem Verkehr gezogen - selbst wenn sie zu blöd sind, um wirklich Schaden anzurichten.

LG, IPB_Flüchtling

Verfasst: 16.12.2005 17:01
von fanrpg
Hmm würde es reichen anstatt Variabeln wo der Pfad zum CMS System drin steht einfach Konstanten nehmen?
Also anstatt:

Code: Alles auswählen

$cms_root_path = $phpbb_root_path.'cms/';
das hier zu nehmen:

Code: Alles auswählen

define('CMS_ROOT_PATH', $phpbb_root_path.'cms/');
Oder auch am Besten $phpbb_root_path weglassen?

Verfasst: 16.12.2005 17:37
von QCO
Na ja, wenn bei dir die PHP-Option register_globals auf Off steht (was sie bei neueren PHP-Versionen eigentlich ist), bist du diesbezüglich auf der sicheren Seite.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de