Seite 1 von 2
Wie ist mein Forum sicher gegen Hacker??????
Verfasst: 24.06.2006 15:57
von Akreb
hallo leute,
also ich hab im netz ein paar seiten gefunden wo beschrieben wird, wie man durch cookie-manipulation Admin in einem Forum wird...
Da wurde auch gesagt das man dafür die mitgliederliste sehen muss.
Code: Alles auswählen
wie kann ich die mitgliederliste nur für reg. user zugängig machen?
danke
Verfasst: 24.06.2006 16:11
von Julian87
Hi,
schau mal hier:
So mache ich mein Board sicher
Mitgliederliste nur für Eingeloggte sichtbar:
Code: Alles auswählen
#
#-----[ OPEN ]---------------------------------------------
#
groupcp.php
#
#-----[ FIND ]---------------------------------------------
#
if ( isset($HTTP_GET_VARS['validate']) )
{
if ( !$userdata['session_logged_in'] )
{
redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx&" . POST_GROUPS_URL . "=$group_id", true));
}
}
#
#-----[ REPLACE WITH ]------------------------------------------
#
if ( !$userdata['session_logged_in'] )
{
redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx&" . POST_GROUPS_URL . "=$group_id", true));
}
#
#-----[ FIND ]---------------------------------------------
#
$s_member_groups = '<select name="' . POST_GROUPS_URL . '">' . $s_member_groups_opt . "</select>";
}
}
#
#-----[ AFTER, ADD ]---------------------------------------------
#
else
{
redirect(append_sid("login.$phpEx?redirect=groupcp.$phpEx", true));
}
#
#-----[ OPEN ]---------------------------------------------
#
memberlist.php
#
#-----[ FIND ]---------------------------------------------
#
init_userprefs($userdata);
#
#-----[ AFTER, ADD ]---------------------------------------------
#
if ($userdata['user_id'] == ANONYMOUS)
{
redirect(append_sid("login.$phpEx?redirect=memberlist.$phpEx", true));
}
#
#-----[ OPEN ]---------------------------------------------
#
profile.php
#
#-----[ FIND ]---------------------------------------------
#
if ( $mode == 'viewprofile' )
{
#
#-----[ AFTER, ADD ]---------------------------------------------
#
if ($userdata['user_id'] == ANONYMOUS)
{
redirect(append_sid("login.$phpEx?redirect=profile.$phpEx&mode=viewprofile&" . POST_USERS_URL . '=' . intval($HTTP_GET_VARS[POST_USERS_URL]), true));
}
#
#-----[ OPEN ]---------------------------------------------
#
viewonline.php
#
#-----[ FIND ]---------------------------------------------
#
init_userprefs($userdata);
#
#-----[ AFTER, ADD ]---------------------------------------------
#
if ($userdata['user_id'] == ANONYMOUS)
{
redirect(append_sid("login.$phpEx?redirect=viewonline.$phpEx", true));
}
#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
Julian
Verfasst: 24.06.2006 16:13
von Balint
Hi!
Öffne memberlist.php
Finde
füge danach ein
Code: Alles auswählen
// Begin 'Restrict Guest Access' MOD
if ( !$userdata['session_logged_in'] )
{
redirect(append_sid("login.".$phpEx."?redirect=memberlist.".$phpEx, true));
exit;
}
// End 'Restrict Guest Access' MOD
Viele Grüße,
Bálint
Verfasst: 24.06.2006 16:13
von darkon
Am sichersten ist es kein Forum zu betreiben
Hundertprozentige Sicherheit wird es nie geben, irgendeine Schwachstelle findet sich immer.
Mit dem CrackerTracker von cback bist du schonmal etwas sicherer.
Du kannst in der overall_header.tpl gucken wo der Link zur Mitgliederliste ist.
Dann ergänzt du ihn wie folgt:
Code: Alles auswählen
<!-- BEGIN switch_user_logged_in -->
LINK ZUR MITGLIEDERLISTE
<!-- END switch_user_logged_in -->
(Bei LINK ZUR MITGLIEDERLISTE muß natürlich dein Code für den Link stehen
)
Verfasst: 24.06.2006 16:16
von Julian87
Hi,
darkon dein beispiel verhindert aber lediglich, das user den Link zur Mitgliederliste sehen. Die können aber dennoch über
www.forum.de/phpbb2/memberlist.php die Mitgliederliste aufrufen.
Julian
Verfasst: 24.06.2006 16:40
von fanrpg
1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?
2. Ist so eine Cookie-Manipulation in Version 2.0.21 sowieso (noch) nicht möglich.
3. Der CTracker schützt auch vor Hackern nicht, nur vor Würmern. Also damit hilfts auch nicht.
Verfasst: 24.06.2006 17:38
von Akreb
Danke euch allen für eure tipps
---------------------------------------------------------------------
Balint hat geschrieben:Hi!
Öffne memberlist.php
Finde
füge danach ein
Code: Alles auswählen
// Begin 'Restrict Guest Access' MOD
if ( !$userdata['session_logged_in'] )
{
redirect(append_sid("login.".$phpEx."?redirect=memberlist.".$phpEx, true));
exit;
}
// End 'Restrict Guest Access' MOD
Viele Grüße,
Bálint
funktioniert super...danke dir
Verfasst: 24.06.2006 17:41
von Akreb
fanrpg hat geschrieben:1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?
damit kann man die mitgliedsnummer (o.ä) von dem Admin herausfinden und dann die coockies zurechtmachen um admin zu werden. (obwohl der admin doch bestimmt immer der erste user ist oder nicht?!
)
Verfasst: 24.06.2006 17:42
von Julian87
Hi,
wer glaubt ...
Die User ID des Admins (erste User) ist immer "2".
Außerdem halt mal die Maus auf den PN Button oder Profil Button, dann siehst du auch die User ID.
Was sagst du jetzt?
Julian
Verfasst: 24.06.2006 18:17
von fanrpg
Akreb hat geschrieben:fanrpg hat geschrieben:1. Welchen Soll es haben die Mitgliederliste und die Benutzergruppen zu verstecken bzw. nicht für Gäste aufrufbar machen?
damit kann man die mitgliedsnummer (o.ä) von dem Admin herausfinden und dann die coockies zurechtmachen um admin zu werden. (obwohl der admin doch bestimmt immer der erste user ist oder nicht?!
)
Ausserdem braucht man den session-key vom admin der aber in der session_key Tabelle liegt, um sich ein Cookie zu backen.
No Way ohne zusäztliche Sicherheitslücken.