Seite 1 von 2
Link Mod gehackt?
Verfasst: 03.09.2007 18:14
von Hegse
Hallo.
Heute Nachmittag hat sich jemand über meinen Account bei mir im Forum angemeldet. Ich habe jetzt mal nachgeschaut wie die Person das gemacht hat.
Und zwar ist diejenige Person über Google auf meine links.php gekommen.
http://www.google.com.mx/search?q=%22Li ... rt=90&sa=N
Folgendes dann: links.php?t=search&search_keywords=asd&start=1%2C1+UNION+SELECT+1%2Cusername%2Cuser_password%2C4%2C5%2C6%2C7...
Dieser Suchbefehl auf der links.php Seite ist noch etwas länger. Weiter führe ich den jetzt aber nicht auf weil ich mir vorstellen kann das man damit jedesmal das Passwort verschlüsselt auslesen kann.
Was kann ich jetzt dagegen tun? In meinen Logdaten wurde schon häufiger nach dem Links+MOD+v1.2.2+by+phpBB2.de gesucht. Ist dieser Mod zu unsicher???
Gruß Hegse
Verfasst: 03.09.2007 18:18
von Seimon
Verfasst: 03.09.2007 18:33
von Hegse
Hier ist meine links.php
Links.txt
Verfasst: 03.09.2007 18:43
von Seimon
Meiner Meinung nach behebt das
diese Lücke:
finde:
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
ersetze durch:
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;
Ich aber kein Securityspezialist und außerdem würd ich einem Mod mit einem so weit offenem Scheunentor nicht mehr voll vertrauen, können noch viele anderen Sicherheitslücken drin sein!
Vielleicht prüft ja jemand den MOD koplett auf Lücken
Verfasst: 03.09.2007 20:13
von Hegse
Seimon hat geschrieben:Meiner Meinung nach behebt das
diese Lücke:
finde:
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
ersetze durch:
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;
Klasse, das hat schon mal geholfen!
Wenn ich die Abfrage jetzt nochmal starte wird zumidest nichts ausgegeben.
Mal schauen wie die Zugriffe auf die links.php in Zukunft sind, wenn sowas noch einmal passieren sollte bau ich ihn ganz aus!
@Seimon
Ich hatte nebenbei ein Thread dazu auf cback.de, da habe ich deine Lösung jetzt mal mit einem Verweis auf dein Posting hier rein geschrieben.
Link
Verfasst: 04.09.2007 00:00
von Parse Error
Hi,
der MOD ist aber nicht betroffen, oder?
## MOD Title: Links Page
## MOD Author: Joe Seys <
joeseys@zerocubed.net >
http://zerocubed.net
## MOD Description: This will add a new page to your site that lists a set of links
## that you can configure.
## MOD Version: 1.0
P.E.
Verfasst: 04.09.2007 04:23
von fanrpg
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval(htmlspecialchars($HTTP_GET_VARS['start'])) : 0;
Das htmlspecialchars() kann weg, bringt durch die Anwendung von intval() keine Mehrsicherheit, nur mehr Serverlast.
Aber sonst dürfte damit die Sicherheitslücke gestopft sein.
Verfasst: 04.09.2007 07:36
von Parse Error
Und, welcher MOD ist überhaupt betroffen?
P.E.
Verfasst: 04.09.2007 08:23
von oxpus
Parse Error hat geschrieben:Und, welcher MOD ist überhaupt betroffen?
P.E.
Eigentlich alle, bei denen Strings und Zahlen nicht abgesichert übernommen werden.
Es wäre für die komplette "mögliche" Sicherheit im ersten Schritt also jedes Script zu prüfen.
Auch ich finde bei mir immer noch mal eine Stelle, wo ich die Sicherheitsschraube andrehe...
Verfasst: 04.09.2007 08:46
von Parse Error
Also ist der MOD auch gefährdet?
Parse Error hat geschrieben:## MOD Title: Links Page
## MOD Author: Joe Seys <
joeseys@zerocubed.net >
http://zerocubed.net
## MOD Description: This will add a new page to your site that lists a set of links
## that you can configure.
## MOD Version: 1.0
Bringt es was, wenn man auf VBulletin oder dieses Burning Board umsteigt?
Oder schützt wenigstens dieser CrackerTracker vor so einem Mist? (Bitte nur seriöse Antworten und keine Lobhodeleien.)
P.E.