Seite 1 von 1
angebliche "Sicherheitslücke" in phpBB3
Verfasst: 29.04.2010 12:52
von WEEDman
DeusEx hat geschrieben:Heute haben wir eine neue Sicherheitslücke in PHPBB3 gefunden.
Es ist möglich über die indizierung eines Cross Site Script Befehles bei neuen Webservern Benutzer aus der Online Liste verschwinden zu lassen, weiterhin ist es möglich Crawler und Bots Automatisiert Joinen und Verschwinden zu lassen, ebenso die echten Crawler “Temporär” unsichtbar zu machen bis diese eine neue Seite aufrufen. Dieses kann nicht als Flooding angesehen werden sondern eher als “Groben Unfug” der wiederum keinen schaden an der Website oder dem Server verursacht. Der entstandene Traffic bei der erzeugung beträgt etwa soviel wie 3-10 Seitenaufrufe was weniger als ein Normaler Besucher wäre da hierbei Websiten nicht komplett geladen werden müssen.
http://xest-international.com/Xest-News/?p=44
Quelle: http://forum.bplaced.net/viewtopic.php?p=301399#p301399
allerdings habe ich niegrdwo sonst etwas darüber gefunden? kann jemand diese angebliche Lücke bestätigen bzw. gibt es ein workaround dagegen?
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 30.04.2010 10:57
von Tim
Mh würde mich auch interessieren...
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 01.05.2010 13:13
von wolfman24
Lesen hilft manchmal. Der Workaround steht doch auf der von die verlinkten Seite:
Gegemaßnahmen: Crawler Umwandlung Deaktivieren
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 01.05.2010 13:41
von WEEDman
wolfman24 hat geschrieben:Lesen hilft manchmal. Der Workaround steht doch auf der von die verlinkten Seite:
Gegemaßnahmen: Crawler Umwandlung Deaktivieren
ja und? bleibt immer noch die Frage, ob diese "Lücke" wirklich existiert und ob das deaktivieren wirklich hilft? .. hab bisher nirgendwosonst etwas darüber gelesen
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 01.05.2010 16:53
von Pyramide
So wie ich das verstanden habe, besteht die "Sicherheitslücke" lediglich darin, dass ein Gast, der ganz normal mit dem Browser surft, durch Änderung des User-Agent in der Wer-ist-Online-Liste nicht als "... und 12 Gäste" auftaucht, sondern als der entsprechende Crawler, z.B. "Google [Bot]". Wie oben schon geschrieben, kann man das somit nur als sinnlose Spielerei bezeichnen.
Ein Sicherheitsproblem ergäbe sich höchstens dann, wenn man die Befugnisse so eingestellt hat, dass Gäste auf ein Forum keinen Zugriff haben, Crawler jedoch schon. Von einer solchen Rechtekonfiguration ist aber sowieso abzuraten, da das als Cloaking gilt und meistens zum Ausschluss aus der Suchmaschine führt.
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 02.05.2010 00:03
von Metzle
Pyramide hat geschrieben:So wie ich das verstanden habe, besteht die "Sicherheitslücke" lediglich darin, dass ein Gast, der ganz normal mit dem Browser surft, durch Änderung des User-Agent in der Wer-ist-Online-Liste nicht als "... und 12 Gäste" auftaucht, sondern als der entsprechende Crawler, z.B. "Google [Bot]". Wie oben schon geschrieben, kann man das somit nur als sinnlose Spielerei bezeichnen
So würde ich das auch sehen, denn so ist es tatsächlich auch. Wenn man sich als Googlebot bewegt, dann ist man auch als Bot gelistet.
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 03.05.2010 13:42
von kellanved
Nun, das ist schlicht keine Lücke.
"Cross Site" ist hier schon einmal gar nichts - es wird einfach ein falscher User-Agent gesetzt.
Nutzer, die sich als Bots ausgeben haben auch die Rechte von Bots, können also keine priviligierten Seiten lesen und auch keine Boardfeatures nutzen.
Zudem können Banns etc so auch nicht umgangen werden.
Nicht einmal DOS liegt vor.
Zusammenfassend: Es gibt hier keine Lücke, das beschriebene Verhalten verletzt in keiner Weise das Sicherheitsmodell von phpBB3.
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 03.05.2010 16:20
von John Doe
Das ist nicht nur nicht keine Lücke, sondern auch ein nützliches Feature weil man so z.B einfach Botrechte überprüfen kann. Auch Templatefehler lassen sich u.U so finden wenn z.B der W3C Validator meckert.
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 04.05.2010 17:11
von WEEDman
Re: angebliche "Sicherheitslücke" in phpBB3
Verfasst: 23.05.2010 00:15
von Hexcode
Der muss echt stolz auf sich sein XD Weißt du wie lange ich das so schon nutze und mich als z.b. googlebot ausgebe um zu testens obs die selbe seite ist wie als gast etc...