angebliche "Sicherheitslücke" in phpBB3

[WEEDman]

Heute haben wir eine neue Sicherheitslücke in PHPBB3 gefunden.

Es ist möglich über die indizierung eines Cross Site Script Befehles bei neuen Webservern Benutzer aus der Online Liste verschwinden zu lassen, weiterhin ist es möglich Crawler und Bots Automatisiert Joinen und Verschwinden zu lassen, ebenso die echten Crawler “Temporär” unsichtbar zu machen bis diese eine neue Seite aufrufen. Dieses kann nicht als Flooding angesehen werden sondern eher als “Groben Unfug” der wiederum keinen schaden an der Website oder dem Server verursacht. Der entstandene Traffic bei der erzeugung beträgt etwa soviel wie 3-10 Seitenaufrufe was weniger als ein Normaler Besucher wäre da hierbei Websiten nicht komplett geladen werden müssen.

http://xest-international.com/Xest-News/?p=44

Quelle: http://forum.bplaced.net/viewtopic.php?p=301399#p301399

allerdings habe ich niegrdwo sonst etwas darüber gefunden? kann jemand diese angebliche Lücke bestätigen bzw. gibt es ein workaround dagegen?

[Tim]

Mh würde mich auch interessieren...

[wolfman24]

Lesen hilft manchmal. Der Workaround steht doch auf der von die verlinkten Seite:

Gegemaßnahmen: Crawler Umwandlung Deaktivieren

[WEEDman]

Lesen hilft manchmal. Der Workaround steht doch auf der von die verlinkten Seite:

Gegemaßnahmen: Crawler Umwandlung Deaktivieren

ja und? bleibt immer noch die Frage, ob diese "Lücke" wirklich existiert und ob das deaktivieren wirklich hilft? .. hab bisher nirgendwosonst etwas darüber gelesen

[Pyramide]

So wie ich das verstanden habe, besteht die "Sicherheitslücke" lediglich darin, dass ein Gast, der ganz normal mit dem Browser surft, durch Änderung des User-Agent in der Wer-ist-Online-Liste nicht als "... und 12 Gäste" auftaucht, sondern als der entsprechende Crawler, z.B. "Google [Bot]". Wie oben schon geschrieben, kann man das somit nur als sinnlose Spielerei bezeichnen.

Ein Sicherheitsproblem ergäbe sich höchstens dann, wenn man die Befugnisse so eingestellt hat, dass Gäste auf ein Forum keinen Zugriff haben, Crawler jedoch schon. Von einer solchen Rechtekonfiguration ist aber sowieso abzuraten, da das als Cloaking gilt und meistens zum Ausschluss aus der Suchmaschine führt.

[Metzle]

So wie ich das verstanden habe, besteht die "Sicherheitslücke" lediglich darin, dass ein Gast, der ganz normal mit dem Browser surft, durch Änderung des User-Agent in der Wer-ist-Online-Liste nicht als "... und 12 Gäste" auftaucht, sondern als der entsprechende Crawler, z.B. "Google [Bot]". Wie oben schon geschrieben, kann man das somit nur als sinnlose Spielerei bezeichnen

So würde ich das auch sehen, denn so ist es tatsächlich auch. Wenn man sich als Googlebot bewegt, dann ist man auch als Bot gelistet.

[kellanved]

Nun, das ist schlicht keine Lücke.

"Cross Site" ist hier schon einmal gar nichts - es wird einfach ein falscher User-Agent gesetzt.

Nutzer, die sich als Bots ausgeben haben auch die Rechte von Bots, können also keine priviligierten Seiten lesen und auch keine Boardfeatures nutzen.
Zudem können Banns etc so auch nicht umgangen werden.

Nicht einmal DOS liegt vor.

Zusammenfassend: Es gibt hier keine Lücke, das beschriebene Verhalten verletzt in keiner Weise das Sicherheitsmodell von phpBB3.

[John Doe]

Das ist nicht nur nicht keine Lücke, sondern auch ein nützliches Feature weil man so z.B einfach Botrechte überprüfen kann. Auch Templatefehler lassen sich u.U so finden wenn z.B der W3C Validator meckert.

[WEEDman]

http://www.youtube.com/watch?v=zihwqZ62PvM (ist imho vom selben Autor)

[Hexcode]

Der muss echt stolz auf sich sein XD Weißt du wie lange ich das so schon nutze und mich als z.b. googlebot ausgebe um zu testens obs die selbe seite ist wie als gast etc...