oxpus hat geschrieben:Hallo,
es geht nicht um die Dateizugriffsrechte auf dem Webserver, sondern eher darum, über die Forendateien direkt auf die Datenbank oder gar den Server zu kommen.
Das Risiko ist in jeder Software vorhanden, allerdings im phpBB 2.0.23 auch nicht soooo gross, wie vielleicht dir genannt wurde.
Ausser, du hast MODs dort eingebaut, die Sicherheitslücken in das Board reisen.
Dennoch ist es schon angebracht, auf phpBB 3 zu aktualisieren, zumal es das aktuelle System darstellt nach modernen Techniken arbeitet und der Support und die Weiterentwicklung für das phpBB 2 zumindest von offizieller Seite bereits seit Monaten eingestellt wurde.
D.h. es gibt keine möglichkeit Datenbankserver und Datenbank passwort aus config.php auszulesen?
Wenn ich die Datei anonym direkt im Browser aufrufe erscheint gar nichts ...
Mods: Portal von root ; EasyMOD 0.3.0 ; UploadPic 1.3.7 ; Kalenderfunktion N/A ; Birthday 1.6.1; (<- Gibts damit bekannte Security issues?)
Danke für deine schnelle Antwort
coolsoft hat geschrieben:Ist das ein Post?
wenn das so ist - den kenn ich glaub ich - hat tatsächlich Zugang zur DB gefunden -
scheint irgendeinen Trick zu haben...
will nix versprechen: der an den ich mich erinnere war höllisch lästig, aber nicht böse.
Hast Du mysqldumper ohne Passwort laufen?
Das ist ein Post, ja. Aber in dem Forum gibts einen öffentlichen Teil wo anonyme User in bestehende Posts antworten düfen, von daher O.K.
Einen eindeutigen Beweis dafür das es ein Sicherheitsloch gibt habe ich noch nicht entdeckt...
lg morph