phpBB.de

Hallo zusammen,
unser Club betreibt seit Jahren ein Forum mit phpbb 3.0.12
Dieses Forum ist unterteilt in einen öffentlichen und einen nichtöffentlichen Bereich.
Nicht registrierte Benutzer (Gäste) können/sollen nur im öffentlichen Bereich lesen aber nicht schreiben.
Registrierte Benutzer können/sollen nur im öffentlichen Bereich zusätzlich schreiben.
Registrierte Benutzer die Clubmitglieder sind können zusätzlich noch in internen Bereich lesen und schreiben.
Bisher hat es auch zuverlässig funktioniert. Rechtevergabe ist auch überprüft (mit Testusern). Auf der Oberfläche funktioniert es auch.
Heute hatte ich aber einen Beitrag eines registrierten Users (Nicht Clubmitglied) im internen Bereich. Das ist für mich total schleierhaft wie das gehen kann.
Ich habe den Verdacht, dass man über die Manipulation der Adresszeile dort hingelangen kann. In der Adresszeile steht
".../viewforum.php?f=5&sid=7e..."
wenn man anstatt "?f=5" (ich vermute Forum=5) "?f=15" in der Adressleiste eingibt, ist man auch als Gast in dem eigentlich für ihn gesperrten internen Bereich des Forums.
Ist das nun ein Rechteproblem oder eine Sicherheitslücke?
Wie kann man das Forum von PHP GET auf POST umstellen um diese Lücke zu umgehen? Da reichen meine PHP Kenntnisse nicht mehr aus.

Rechteproblem.

Überprüfung: KB:rechte_verfolgen
Zum Anschauen: Howto Video

Hallo Miriam,
danke, erst mal für die schnelle Antwort. Die Links hatte ich auch schon gelesen.

Das Problem lag tatsächlich an den effekiven Rechten.
Für die registrierten User war alles auf ROT (keine Leseberechtigung in diesem Forum) OK!
Jetzt wird es aber komisch:
Die effektiven Rechte für die Gäste waren aber teilweise auf Grün (Leseberechtigung in diesem Forum)
In den Forumsrechten für Gäste stand es in diesem Forum aber auf NEIN (!).
Erst als ich die Forenrechte für Gäste in diesem Forum auf NIE gesetzt habe wurden die effektiven Rechte auch richtig angezeigt und alles funktioniert wie erwartet.
Selbst eine Manipulation der Adresszeile ist jetzt ausgeschlossen.
Ich hatte zwischenzeitlich auch schon die index.php in einem Frame aufgerufen um die Parameteranzeige zu unterbinden, aber das ist eine leicht zu durchschauende Krücke.
Gruß
Ulrich
PS: nicht alles was man nicht versteht ist falsch.

Hi,

bei richtiger Rechtevergabe kann man in die Adresszeile eingeben was man will.
Wenn phpBB so einfach auszutricksen wäre, hätte man davon bestimmt schon mal gehört

LG

// Vor allem würde es phpBB nicht mehr geben, weil es Schrott wäre.