Hilfe - Hacker am Werk!!

günni · Beitrag von **günni** » 26.05.2004 16:39

Habe eben eine PN von einem Freund bekommen.
Dieser schrieb mir :

Hallo Günni,

das Forum hat ein kleines Problem. Es ist möglich Links zu platzieren, mit denen man sensible Sachen am Forum verändern kann.
Das einfachste Beispiel ist eine Image Tag in einer Signatur:

Code:
[ externes Bild ]

Jeder der sich eine Seite mit dieser Sig anschaut, wird ausgeloggt.

Stell dir mal vor, einer plaziert nen Link zum Forum löschen da rein (es geht, glaub es mir), dann ist hier aber Kirmes...

greetz
cookie

Und das schlimme ist - der Typ hat recht.
Kann man etwas dagegen machen??
ich benutze 2.0.6 mit allen Sicherheitspatches bis 2.0.7, die ich manuell durchgeführt habe, weil ich zuviele Mods in meinem Board eingebaut habe.
Brauche dringend eine antwort.

Beitrag von **Mungo** » 26.05.2004 16:42

Auf 2.0.8a updaten

Beitrag von **Markus67** » 26.05.2004 16:45

Codeänderungen von 2.0.7 nach 2.0.8a

Markus

günni · Beitrag von **günni** » 26.05.2004 17:17

Dank dir!!!

Tuxman · Beitrag von **Tuxman** » 26.05.2004 17:21

Das Topic sticht mir irgendwie ins Auge... von wegen "Hilfe Hacker" - es handelt sich hierbei bestenfalls um Cracker. Der Grund ist hier nachzulesen.

Das aber nur nebenbei.

Beitrag von **Dennis63** » 26.05.2004 21:12

Ist folgneder Code für das Problem verantworlicht?

FIND

Code:

Code: Alles auswählen

   $text = preg_replace("#\[img\]((ht|f)tp://)([^\r\n\t<\"]*?)\[/img\]#sie", "'[img:$uid]\\1' . str_replace(' ', '%20', '\\3') . '[/img:$uid]'", $text);

REPLACE WITH

Code:

Code: Alles auswählen

   $text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"\n\r\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\1' . str_replace(' ', '%20', '\\3') . '[/img:$uid]'", $text);

?? Müßte doch oder?

Und wie kann man damit Foren löschen? Das sollte doch unmöglich sein, da es doch keine URL dafür gibt...

Grüße
Dennis

günni · Beitrag von **günni** » 27.05.2004 01:00

Ja. Wird wohl dieser Code sein.
Werde mal nachfrage wie er denn das Forum löschen kann.

Beitrag von **Christian_W** » 27.05.2004 12:39

Vermutlich kann er es gar nicht. Ein mögliches Sicherheitsproblem ist es trotzdem. Deshalb sind seit phpBB 2.0.8 ja nur noch 'richtige' Bilder erlaubt.

Gruß Christian

JayDee · Beitrag von **JayDee** » 27.05.2004 12:50

ich habe auch auf 2.08a geupdatet und bekomme immer noch Besuch von FakeUsern.....

wie kann ich mich schützen ????

larsneo · Beitrag von **larsneo** » 27.05.2004 12:57

Deshalb sind seit phpBB 2.0.8 ja nur noch 'richtige' Bilder erlaubt.

...ob dafür aber eine regexp ausreicht (insbesondere beim einsatz von mod_rewrite auf dem server) sei einmal dahingestellt