phpBB.de

ich bin selbst Admin in einem php-Forum mit über 1,5k user

wir haben diverse Unterforen die nur für bestimmte user-groups zugänglich sind.

natürlich hat man da immer angst vor hacks und das leute in bereiche schauen, die sie nix angehen.

jetzt hörte ich von einem bekannten, daß es angeblich möglich sei, hinter einem externen avatar ein script zu verstecken, das die session ID von registrierten benutzern ausliest und weitergibt.

nochmal langsam, weil ich das selbst nicht so raffe ^^

jemand registriert sich für z.B. nen öffentlich zugänglichen bereich des Forums und nimmt als Avatar ein Pic, daß er auf eigenem Web-Space hat. hinter diesem Pic versteckt er ein script, daß jedesmal ausgeführt wird, wenn das Pic geladen wird.

wenn jetzt ein benutzer z.B. mit Mod oder Adminrechten einen Thread dieses "Hackers" anschaut, dann wird natürlich auch der externe Avatar dieses "Hackers" mitgeladen und das script wird ausgeführt.

dieses script soll dann dafür sorgen, das (über ein cookie oder was weiß ich) die aktuelle session ID des Mod-Accounts oder Admin-Accounts ausgelesen und versendet wird. Damit soll der Hacker sich dann auch ins Forum einloggen können und Unsinn anstellen.

Meine Frage:

Stimmt das ?

Wenn ja, was kann ich dagegen tun ?


lg, otron

Hm, kann ich mir nicht vorstellen.
Gut möglich, dass dich da jemand auf den Arm nehmen will.
Wenn du sichergehen willst, kannst du die Avatarfunktion im Adminbereich aber abschalten

"kann ich mir nicht vorstellen"

ist mir auch in den Sinn gekommen. aber gibt es denn argumente, die das eindeutig widerlegen ?

so z.B.: die session ID ist so verschlüsselt, die kann nicht mal Einstein knacken ^^

Selbst wenn es möglich sein sollte, über irgendein referr oder so an die
session id zu kommen, ist die doch an die jeweilige IP gebunden, oder ?

Ich weiß nicht wirklich ob das möglich ist aber hier mal meine Gedanken dazu:
Wenn das über den Avatar geht würde es ja auch über die img-tags funktionieren. Seit 2.0.8 werden ja nur noch 'richtige' Bilder durch den img-tag eingebunden. Keine Ahnung ob das bei den Avataren auch geändert wurde bzw. ob das je möglich war.
Ich würde also auf jeden Fall auf 2.0.8a updaten. Außerdem die Avatarremote-Funktion ausschalten. Die hat sowieso fast nur Nachteile.

Gruß Christian

gibt es denn hier niemanden, der sich so damit auskennt, daß er mir eine definitive antwort geben kann ?

ich will nur sehr ungerne die externen avatare killen

Also um es kurz zu machen: es geht. Wer's testen will, binde folgendes Bild in sein Forum ein:
http://phpbb.kordowich.net/referer.php

In diesem Fall handelt es sich um ein schnell aus der Vorlage von EZ Stats 1.02 erstelltest Skript. Den Referer werte ich in diesem Fall nicht aus - man könnte es aber theoretisch. Sobald bei einer Seite zusätzlich die Session-ID (sid) übermittelt wird, ist theoretisch ein Übernahme der Sitzung möglich. Dabei ist der Mod- und Admin-Bereich zusätzlich geschützt - im normalen Bereich liegt kein Schutzmechanismus vor.

Gruß, Philipp

Also ist's doch eigentlich keine "schwerwiegende" Sicherheitslücke

Ich habe es gerade nochmal getestet. Auch wenn man die Session ID kopiert wenn man eingeloggt ist und damit in einen anderen Browser geht, ist man mit dem neuen Browser nicht eingeloggt. Egal ob gleiche oder andere IP.