Seite 1 von 1
Seltsames Problem bei der registrierung eines neuen Users
Verfasst: 03.06.2006 11:24
von DreamPromise
Moin moin
heute hat sich ein neuer User angemeldet.
Bei mir ist die Konfiguration so eingestellt das User ihr Geburtsdatum angeben müßen sonst ist keine Registrierung möglich.
Genau so ist auch Eingestellt das man Angeben muß ob männlich oder weiblich ist.
Aber dennoch hat es ein User geschafft diese zu umgehen.
Also hab ich mal versucht einen Testaccount anzulegen mit diesen Vorraussetzungen.
Bei mir ging es nicht.....es kamen immer die Meldungen das mal halt die betreffenden Felder aufüllen MUSS.
Gibt es denn schon Hinweise auf ewt. Bugs ???
DP
Verfasst: 04.06.2006 18:54
von DreamPromise
Verfasst: 05.06.2006 12:44
von h-o
Wir dürfen mal annehmen, es handelt sich um das Birthday MOD von Niels (es gibt noch ein paar andere...)?
Entscheidend ist vor allen Dingen der Code in usercp_register.php:
Code: Alles auswählen
// find the birthday values, reflected by the $lang['Submit_date_format']
if ($b_day || $b_md || $b_year) //if a birthday is submited, then validate it
{
[...]
} else
{
if ($board_config['birthday_required'])
{
$error = TRUE;
if( isset($error_msg) )$error_msg .= "<br />";
$error_msg .= sprintf($lang['Birthday_require']);
}
$birthday = 999999;
}
Eine Sicherheitslücke gab's vor längerer Zeit mal in einigen Modifikationen von Niels, aber soweit ich weiß nur nicht im Birthday MOD, sondern im Gender MOD, und dabei gings auch nicht um einfaches Überspringen von Daten bei der Registrierung, sondern "nur" um Einschleusen von SQL-Code
Verfasst: 05.06.2006 15:30
von DreamPromise
Moin moin
also den Gender-Mod hab ich auch installiert.
Auch von Niels
Wie kann man denn das Problem nun lösen ?
Oder muß man damit leben ??
Danke schon mal
DP
Verfasst: 05.06.2006 15:35
von h-o
DreamPromise hat geschrieben:Oder muß man damit leben ??
Mal davon abgesehen, dass ich das grundsätzlich nicht für so schlimm halte, wenn Leute ihr Geburtsdatum nicht preisgeben wollen, dürfte der Fehler im Birthday MOD trotzdem nicht passieren
Falls du Zeit hast, kannst du mal die usercp_register.php bereitstellen, sofern sie nicht zu sehr "zugeMODded ist"...
Verfasst: 05.06.2006 15:39
von DreamPromise
Moin moin
usercp_register.php
Bitteschööön
DP
Verfasst: 05.06.2006 16:43
von h-o
Hmm, das Gender-MOD hast du wohl ein wenig erweitert (ebenfalls eine Angabepflicht), aber das Birthday MOD scheint korrekt eingebaut zu sein. Seltsam.
Entferne trotzdem mal bei Gelegenheit in der Zeile
die beiden Schrägstriche, denn wenn $error gar nicht belegt ist, kann alles Mögliche passieren
Und auch wenn es wohl keine direkten Auswirkungen auf das eigentliche Problem haben dürfte: Statt
Code: Alles auswählen
$user_active = 'user_active';
$user_actkey = 'user_actkey';
müsste es laut Original-usercp_register.php eigentlich heißen:
Evtl. kannst du mal direkt im Supportforum von Niels nachfragen.
Verfasst: 05.06.2006 17:12
von DreamPromise
Moin moin
ok...hab das alles abgeändert.
Die Frage ist nurnoch WIE sie es geschafft haben ???
DP
