PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitsleck im VMS?



Aloaman
14.01.2007, 19:45
Hallo zusammen,

ich bin derzeit als Co-Admin bei einigen Seiten tätig. Auf eine dieser Seiten gab es heute Vorfälle, die bis dato noch nicht so vorgekommen sind. Es wurden Seitenintern von einem Account Lose zu anderen Accounts transferiert, ohne dass der Inhaber der rechtmässigen Lose diese transfers vorgenommen hat. Der Inhaber des "geplünderten" Accounts versicherte mir, dass sein Passwort aus mehreren Buchstaben und Zahlenkombinationen besteht. Die Empfänger der Lose sind erst seit heute auf der Seite angemeldet und definitiv keine Refs des geplünderten Users. Meine Frage geht nun soweit, dass ich gerne wüsste, ob es irgendwie möglich ist, durch ein eventuelles Leck im Script, interne Losetransfers vorzunehmen?

Danke schonmal für eure Hilfe

Aloaman

P.S.: Die Seite befindet sich natürlich im Wartungsmodus, um weitere ungewollte Losetransfers zu vermeiden!

Zement
14.01.2007, 19:52
Hast du ein "intern Überweisen"-Addon?
Welche anderen Addons nutzt du?
Ein paar mehr Daten brauchen wir schon, weil ich denke mal der "Bug" liegt eher in einem Addon und nciht im Basisscript.

Aloaman
14.01.2007, 20:23
ja, ein Intern-Überweisen Addon ist drin, dazu noch AP-Rang, Klickrang, Sparbuch & Shredder Addon, Automailer, GameRefback usw. usw. Wie gesagt, ich bin der Co-Admin der Seite und die Betreiberin ist aufgrund eines Wohnortwechsels nicht da. (allerdings per Anruf auf Handy bereits informiert)

Zement, mal so gefragt, wieso glaubst du, dass das Basisscript nicht bugbehaftet sein kann? Selbst in Scripten wie das Woltlab BurningBoard oder phpbb finden sich noch Sicherheitslecks.

Zeitter1
14.01.2007, 21:18
denn bug hab ich elider auch bisher noch keine losung ich hab einfach die glaube transfer.php umgennant und verlinkt die meisten sind zu doof das umzuandern xD

Gremlin
14.01.2007, 21:37
Tauchen dieBuchungen in einer Buchungsliste auf? Wenn ja was steht da / welche Datei macht die Einträge? etc.

Gruß
Gremli

Aloaman
14.01.2007, 21:57
Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php

Zement
14.01.2007, 22:03
Original von Aloaman
Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php
Dann leigt der Fehler wohl in dieser Dtei bzw diesem Addon.
Woher hast du das? kannst / drafst du den Code veröffenltichen?

Aloaman
14.01.2007, 23:01
Gute Frage wo das addon herkommt. Wie gesagt ich bin lediglich der Co-Admin bei Losebombe

Aloaman
16.01.2007, 00:19
Wer von den erfahrenen Proggern könnte sich denn mal die Transfer.php anschauen?

DjBusti
17.01.2007, 17:31
ich könnte sie mir anschauen, schreib mich einfach mal an...

Gremlin
17.01.2007, 18:00
DITO
mir auch mal per PN schicken...

Gremlin
17.01.2007, 20:04
Also die relevanten Zeilen, kann man eigentlich nicht umgehen. Man muss schon im Absenderaccount eingeloggt sein, um da was transferieren zu können. ;)

Gruß
Gremlin

Aloaman
17.01.2007, 21:18
ok, danke erstmal fürs schauen. Werd dann mal weiter nach der Ursache forschen.

Murdoch
17.01.2007, 22:00
welcher User Klamm ID hat denn die ganzen Lose bekommen, sicherlich könnte man Ihn mal anschreiben.

Nebulus
17.01.2007, 22:41
Leider kann ich jetzt auch nicht sagen wie das genau zustande kommt, da mir der Quelltext von dem Addon nicht zur Verfügung steht. Jedoch habe ich davon gehört, leider erst heute das es möglich sein soll bei einigen Addons durch das einbinden in Kampagnen im IFrame einen Transfer auszulösen.

Jetzt ist natürlich die Frage ob bei einem Transfer ein Passwort angegeben werden muss oder nicht, wenn ja dann muss es der User selber gewesen sein, wenn nicht ist da etwas am argen.

Es kann auch vorkommen das einzelne Addons sauber laufen, doch wenn man dann andere mit drin hat das da dann ein Fehler (Bug) auftaucht.

Wenn man mir mal den QT gibt kann ich mal was testen...

Gremlin
17.01.2007, 22:46
@Nebulus,
hab dir mal die zip im Anhang geschickt, obwohl ich nicht denke das es bei dem Addon geht, am Anfang wird geprüft ob man eingeloggt ist, und weitere Sicherheitsabfragen sind auch drin ?(

Aloaman
18.01.2007, 12:05
Original von Murdoch
welcher User Klamm ID hat denn die ganzen Lose bekommen, sicherlich könnte man Ihn mal anschreiben.

Moin Murdoch,

der User der die Lose einsackte und sich auszahlte ist bereits bei den Klamm Admins gemeldet und von Mone direkt gesperrt worden. Von daher ist zumindestens von diesem User nichts mehr zu befürchten.

Aloaman
20.01.2007, 10:29
Original von Nebulus
Leider kann ich jetzt auch nicht sagen wie das genau zustande kommt, da mir der Quelltext von dem Addon nicht zur Verfügung steht. Jedoch habe ich davon gehört, leider erst heute das es möglich sein soll bei einigen Addons durch das einbinden in Kampagnen im IFrame einen Transfer auszulösen.

Na klasse, ich hoffe, dass man dies mal beheben kann. 8o



Jetzt ist natürlich die Frage ob bei einem Transfer ein Passwort angegeben werden muss oder nicht, wenn ja dann muss es der User selber gewesen sein, wenn nicht ist da etwas am argen.


Beim Transfer zwischen den Usern wird kein Passwort benötigt... :(



Es kann auch vorkommen das einzelne Addons sauber laufen, doch wenn man dann andere mit drin hat das da dann ein Fehler (Bug) auftaucht.

Wenn man mir mal den QT gibt kann ich mal was testen...

Hast du denn schon was testen können? QT hat Gremlin dir ja rübergeschickt

Nebulus
20.01.2007, 13:25
Quelltext habe ich keinen bis jetzt bekommen, doch wenn ich den mal erhalte dann auch ich da auch gerne mal rein. Jedoch hat das VMS keine überweiung intern drin, also ist es ein fehler im Addon nicht nicht vom VMS!

Gremlin
20.01.2007, 13:40
Quelltext habe ich keinen bis jetzt bekommen

Hö? Ich hab dir das doch per PN geschickt 8o

KiLLzOnE
20.01.2007, 14:01
Der BUG kam bei mir auch vor.
User haben einfach eine File erstellt und einen Banner unter Werbung buchen eingebucht.
Dieser Banner verlinkte dann auf diese File.
Durch den Klick auf diesem Banner überweist man automatisch an den in der File angegebenen Account.

Lösung:

Evtl. sollte jmd. das so proggen, das man bei einer Überweisung einen Sicherheitscode angeben muss.

Denke das ist das einfachste.

Gremlin
20.01.2007, 21:39
Evtl. sollte jmd. das so proggen, das man bei einer Überweisung einen Sicherheitscode angeben muss.

Hier mal paar Schnippsel die nützlich sind, vllt. kann es ja einer schnell fertig machen, weil ich noch anderweitig beschäftigt bin:



<?
/* Captchacode By Gremlin */

header("Content-type: image/png");
$pin = rand(100,999);
session_start();
$_SESSION['captcha'] = $pin;
$image = imagecreatetruecolor(90,40);
$color = ImageColorAllocate($image, 255, 255, 255);
$color1 = ImageColorAllocate ($image, 000, 000, 255);
$color2 = ImageColorAllocate($image, 000, 255, 000);
$color3 = ImageColorAllocate ($image, 255, 000, 000);
$color4 = ImageColorAllocate ($image, 255, 255, 000);
imageline($image, 0, 0, 20, 25, $color1);
imageline($image, 0, 0, 75, 15, $color2);
imageline($image, 65, 0, 0, 70, $color3);
imagestring ($image, 5, 25, 10, $pin, $color);
imageline($image, 10, 0, 500, 220, $color4);
imagepng($image);
?>


Das dann speichern als captcha.php und einbinden mit <img src="captcha.php"> dann noch an geeigneter Stelle ein Formularfeld einbauen


<input type="text" name="captcha_user">

Und vor dem ausführen der Überweisung prüfen:


<?
if ($_POST['captcha_user'] == $_SESSION['captcha']{

FÜHRE DIE ÜBERWEISUNG AUS

}else{
echo 'Sicherheitscode falsch eingegeben!';
}
?>

Ich hoffe es kann einer fertig machen :)

Gruß
Gremlin

KiLLzOnE
20.01.2007, 22:55
Cool, das wäre echt klasse wenn das jmd. fertig bastelt. :D

Zement
21.01.2007, 16:15
Könnte mir bitte ejmand den Quellcode der transfer.php an zahnahlskaries[--at--]web.de schicken, werde gerne mal draufschauen und eine Lösung bringen, die ohne das PW funktioniert.

Aloaman
21.01.2007, 17:17
@zement

Hab dir die transfer.php per Mail geschickt

Zement
22.01.2007, 00:01
Original von Aloaman
@zement

Hab dir die transfer.php per Mail geschickt

Ok, also die Daten werden via Post übergeben, also kommt man mit einem 0815 Script nciht weiter, da muß man sich schon mal richitg dransetzen um das zu knacken.

Gremlin
22.01.2007, 00:07
Naja Zement ;) hab gegooglet, und bin auf eine Seite gestoßen, wo eine funktion erstellt wurde, mit der man ganz leicht einen POST Request simulieren kann ;) Deshalb wäre die Möglichkeit mit dem Captchacode die einfachste ;)

Murdoch
31.01.2007, 03:25
jo habe das Problem heute Nacht auch gehabt, also habe ich das Überweisungs Addon erstmal runtergenommen. Sollten alle machen die das Addon drinne haben