phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Hilfe - Hacker am Werk!!

https://www.phpbb.de/community/viewtopic.php?t=55554

Seite 1 von 2

Hilfe - Hacker am Werk!!

Verfasst: 26.05.2004 16:39
von günni
Habe eben eine PN von einem Freund bekommen.
Dieser schrieb mir :
Hallo Günni,

das Forum hat ein kleines Problem. Es ist möglich Links zu platzieren, mit denen man sensible Sachen am Forum verändern kann.
Das einfachste Beispiel ist eine Image Tag in einer Signatur:

Code:
[ externes Bild ]


Jeder der sich eine Seite mit dieser Sig anschaut, wird ausgeloggt.

Stell dir mal vor, einer plaziert nen Link zum Forum löschen da rein (es geht, glaub es mir), dann ist hier aber Kirmes...

greetz
cookie
Und das schlimme ist - der Typ hat recht.
Kann man etwas dagegen machen??
ich benutze 2.0.6 mit allen Sicherheitspatches bis 2.0.7, die ich manuell durchgeführt habe, weil ich zuviele Mods in meinem Board eingebaut habe.
Brauche dringend eine antwort.

Verfasst: 26.05.2004 16:42
von Mungo
Auf 2.0.8a updaten ;-)

Verfasst: 26.05.2004 16:45
von Markus67
Codeänderungen von 2.0.7 nach 2.0.8a

Markus

Verfasst: 26.05.2004 17:17
von günni
Dank dir!!!

Verfasst: 26.05.2004 17:21
von Tuxman
Das Topic sticht mir irgendwie ins Auge... von wegen "Hilfe Hacker" - es handelt sich hierbei bestenfalls um Cracker. Der Grund ist hier nachzulesen. ;)

Das aber nur nebenbei. ;)

Verfasst: 26.05.2004 21:12
von Dennis63
Ist folgneder Code für das Problem verantworlicht?

FIND

Code:

Code: Alles auswählen

   $text = preg_replace("#\[img\]((ht|f)tp://)([^\r\n\t<\"]*?)\[/img\]#sie", "'[img:$uid]\\1' . str_replace(' ', '%20', '\\3') . '[/img:$uid]'", $text);
REPLACE WITH

Code:

Code: Alles auswählen

   $text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"\n\r\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\1' . str_replace(' ', '%20', '\\3') . '[/img:$uid]'", $text);
?? Müßte doch oder?

Und wie kann man damit Foren löschen? Das sollte doch unmöglich sein, da es doch keine URL dafür gibt...

Grüße
Dennis

Verfasst: 27.05.2004 01:00
von günni
Ja. Wird wohl dieser Code sein.
Werde mal nachfrage wie er denn das Forum löschen kann.

Verfasst: 27.05.2004 12:39
von Christian_W
Vermutlich kann er es gar nicht. Ein mögliches Sicherheitsproblem ist es trotzdem. Deshalb sind seit phpBB 2.0.8 ja nur noch 'richtige' Bilder erlaubt.

Gruß Christian

Verfasst: 27.05.2004 12:50
von JayDee
ich habe auch auf 2.08a geupdatet und bekomme immer noch Besuch von FakeUsern.....

wie kann ich mich schützen ????

Verfasst: 27.05.2004 12:57
von larsneo
Deshalb sind seit phpBB 2.0.8 ja nur noch 'richtige' Bilder erlaubt.
...ob dafür aber eine regexp ausreicht (insbesondere beim einsatz von mod_rewrite auf dem server) sei einmal dahingestellt :roll:
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de