Sicherheitsrisiko bei SEO phpBB3?

[faraday]

Moin, ich bin mir nicht ganz sicher in welches Forum das gehört, darum schreib ich es mal hier hinein.

Ich bin letztens mal auf http://www.phpbb-seo.de/ gestoßen. (Apropos, weiß jemand warum sie gerade down ist?) Nette Seite (schlechter Support), aber tolle Idee. Nun hab ich allerdings folgenden Code entdeckt:

Code: Alles auswählen

'U_BASE_URL'            => $config['server_protocol'] . $config['server_name'] . $_SERVER['PHP_SELF'], 

Diese "U_BASE_URL" wird im overall_header eingefügt. Und schon haben wir den Salat. Ruft jemand die Seite z.B. http://domain/phpBB3/index.php/><script>bla</script auf, so würde der Header umgeschrieben werden und ein Skript wär eingefügt. Mag sein, dass die Symbole mit htmlentities umgeschrieben werden, aber riskant ist es allemal. Ich habe statt $_SERVER['PHP_SELF'] nun "$_SERVER['SCRIPT_NAME']" verwendet. Dies ist auf jedenfall die sicherere Variante.
Wenn ich mich jetzt irre, sagts mir bitte.^^

Gruß faraday

[djchrisnet]

das tolle ist, dass du damit aber nur deinen rechner mit dem script versorgen kannst, oder du versendest diesen link mit dem gesamten code angehängt (sehr unauffällig ^^). dass kann man auch viel einfacher haben.

[bantu]

das tolle ist, dass du damit aber nur deinen rechner mit dem script versorgen kannst, oder du versendest diesen link mit dem gesamten code angehängt (sehr unauffällig ^^). dass kann man auch viel einfacher haben.

Leider entspricht das ziemlich genau der Definition von Cross-Site-Scripting. http://www.google.com/search?q=PHP_SELF+XSS

PHP_SELF ist "user submitted content" und sollte dementsprechend behandelt werden.

Bitte den Autor darüber informieren.

Wie phpBB selbst mit PHP_SELF umgeht kann man in includes/session.php in der function extract_current_page() nachlesen.

[djchrisnet]

ich habe nicht gesagt, dass es keine xss is. ich sagte nur, dass es eine verdammt auffällige form des xss ist, da der potenzielle enduser den link mit dem gesamten schadcode selbst aufrufen muss.

[bantu]

ich habe nicht gesagt, dass es keine xss is. ich sagte nur, dass es eine verdammt auffällige form des xss ist, da der potenzielle enduser den link mit dem gesamten schadcode selbst aufrufen muss.

Das kann man ganz leicht umgehen indem man z.b. ein dienst zr URL-Verkürzung verwendet.

[djchrisnet]

dann kann man auch gleich auf eine andere seite verlinken (z.B. freehoster) html seite komplett weiss mit script im head. gleiches ziel erreicht!

Wenn der User auf einen Link klickt den er nicht kennt, ist eh hopfen und malz verloren!

[faraday]

Bitte den Autor darüber informieren.

Hatte ich vor, allerdings ist die Support-Seite ja down. Darum mach ich's hier.

Das kann man ganz leicht umgehen indem man z.b. ein dienst zr URL-Verkürzung verwendet.

Check.

dann kann man auch gleich auf eine andere seite verlinken (z.B. freehoster) html seite komplett weiss mit script im head. gleiches ziel erreicht!

Wenn der User auf einen Link klickt den er nicht kennt, ist eh hopfen und malz verloren!

Aber man muss es nicht unnötig provozieren.

[sepp71]

Ich habe statt $_SERVER['PHP_SELF'] nun "$_SERVER['SCRIPT_NAME']" verwendet. Dies ist auf jedenfall die sicherere Variante.

Ups, ist das Thema damit dann geklärt?
phpbb-seo.de (die Seite von BTK Tobi] ist leider immer noch down und ich weiß nicht, ob die Mod. von phpbb-seo.com eigentlich dasselbe ist.

Gruß
Sepp (leicht verunsichert)

[djchrisnet]

Wenn ich meiner Anfrage nach richtig zwischen den zeilen lese, geht der Server auch erst wieder online, wenn ein Gewisser Herr seine aussenstände beglichen hat. Da er aber für den Provider scheinbar nicht greifbar ist, ist da wohl etwas mehr im Busch.

[Metzle]

ist da wohl etwas mehr im Busch.

Na, wir wollen doch mal nicht übertreiben...soviel ist da auch nicht im Busch