PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Warnung: Sicherheitslücken in Addons



Gremlin
06.10.2008, 02:23
Hallo,
in den letzten Tagen bin ich vermehrt auf Sicherheitslücken in Addons gestoßen mit denen es möglich ist in Kürze die Betreiberkonten leer zu räumen.

Ein kurzes Beispiel:
Habe ich vor wenigen Minuten bei Verliebt-in-Lose.net getestet um es euch und dem Betreiber zu demonstrieren.

Harmlos angefangen mit einer kleinen Einzahlung um zu testen ob der Bug vorhanden ist! Und das war er:



06.10.2008 - 00:57 VpYpNMyNuDJX9I 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 q28xbTjQpLv1HJ 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 yt6bNTSYJshsYf 1.000.000,00 **** - Gewonnen
Daraufhin nochmal nachgezahlt um das schneller auszunutzen:



06.10.2008 - 01:00 EZ7SJwMDtVDm1E 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 yYp3VUeucQuVzP 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 FXwwS6lgtVhjTM 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 wH8LJ612ikrb5u 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 X86xlXa7W4N0LN 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 7sZnCXkyZ2mxyT 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 1RyOzthWXjrSZY 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 Tdb6fSrbH4h3Rf 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 JV2rCNwnqZPA8U 10.000.000,00**** - Gewonnen
06.10.2008 - 00:58 JOSg062PxGdrmR 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:58 AAMUEwzqMYvLjL 10.000.000,00**** - Gewonnen
Fazit: 4 minuten Arbeit -> 103 Mio Gewinn! (welche ich dem Admin natürlich wieder gebe :wink:)

Hätte ich noch mehr Guthaben eingezahlt hätte ich das ganze noch viel höher machen können und so in wenigen Sekunden mehrere Milliarden Lose generieren können welche ich mir dann - bei einem gut gefülltem EF - schnell mal ausgezahlt habe.


Appel an die Webmaster:
Baut nicht jedes Addon ein was es mal für 1 Mio an der Ecke gibt, 1 Mio sind 17cent dafür macht ein guter Progger nichtmal seinen Editor auf, wenn ihr was kauft schaut in den Code und prüft ihn auf Lücken, oder wenn ihr es nicht selbst könnt holt euch einen Co-Admin der es kann!

Appel an die "Progger":
Achtet endlich mal auf mehr Sicherheit, bei dem entsprechenden Spiel wo ich diesen Bug ausgenutzt habe sind es 2-3 Zeilen Code welche den Bug hätten verhindern können.

Betroffenes Addon / Game in diesem Fall:
- Zeche (Die Zeche die es in einem Paket mit mehreren Zechen gab)

Informationen wie man den Bug ausnutzt wird es nicht geben auch nicht per PM etc.

Einen Bugfix kann ich auch nicht bieten da ich den Code der Zeche nicht vorliegen habe und mir diesen Mist bestimmt auch nicht kaufe :biggrin1: wer also
Interesse an einem Bugfix hat, sollte sich bevorzugt an den Programmierer des Zechenaddons wenden und zwischenzeitlich die Zeche offline nehmen (einfach nur Link wegmachen reich nicht weil kluge Faker ihn bestimmt gespeichert haben deshalb Dateien vom Server löschen)

In Kürze gibt es in diesem Thread bestimmt noch weitere Addons die von Bugs betroffen sind.

Gruß
cdp

Jenny
06.10.2008, 02:29
Was cdp gesagt hat gilt auch für viele Seiten mit den Bonuslose-Addons!!! Es gibt einen Haufen Spiele die keine Sicherheitssperre habe und bzw. wo Sicherheitssperren durch den Bonuslose Code umgangen werden und so Minuskontostände ohne Probleme möglich werden, auch wenn die Spiele vorher nicht ins Minus gespielt werden konnten!!!!

halk
06.10.2008, 03:00
Was cdp gesagt hat gilt auch für viele Seiten mit den Bonuslose-Addons!!! Es gibt einen Haufen Spiele die keine Sicherheitssperre habe und bzw. wo durch den Bonuslose Code umgangen werden und so Minuskontostände ohne Probleme möglich werden, auch wenn die Spiele vorher nicht ins Minus gespielt werden konnten!!!!


Hallo!

Das mit den Bonuslose *Sicherheitssperren* musste mal erklären. und vielleicht auch wie man dies verhindern kann. wäre doch interessant zu wissen.

Mfg halk

Jenny
06.10.2008, 14:38
Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.

MrRomeobln
06.10.2008, 19:06
Nabend Cdp & rest,

@cdp meinst Du die Flash-Zeche oder nur die etwas älteren die von der Optik her recht überholungsbedürftig ausschauen(ausgenommen natürlich deine Bonus-Zeche) ?

Gremlin
06.10.2008, 19:18
Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

jpwfour
06.10.2008, 19:24
hm, hier schauen die dateien aber so aus:
/einzelzeche/zeche.php
/multiplayzeche/zeche.php
/multizeche/zeche.php

Gremlin
06.10.2008, 19:38
Wo ist denn "hier"? Wenn du von "hier" mal einen Testzugang hast kann ich ja mal testen ob es da auch den Bug gibt.

eselfutter
06.10.2008, 21:00
Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.



Ich kenne die Addons nicht, aber nach meiner Einschätzung liegt da eher das Problem bei der umgeschriebenen Funktion kontobuchung.
Es werden da ja lediglich die Kontostände addiert. Ist die Summe dieser Stände für den Spieleinsatz nicht ausreichend, dann wird auch kein Spiel gestartet.
Wenn aber in der Funktion kontobuchung nicht auf ein Minuslaufen der Bonuslose geachtet wurde dann hat man ein Problem.....

neoplacer
06.10.2008, 22:47
Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..
selbst bei den Addons die man hier DL kann geht es meist.

Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Gremlin
06.10.2008, 23:31
Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Das ist ja das schlimme daran ...


Kuck man sich nur mal den HTML Code mit dem Validator an.
Oh man es ist ein großer Unterschied ob der HTML Code valide ist oder ob man in paar Sekunden den EF leer räumen kann, außerdem ist das 1.2.x in der Grundversion Valide.


Könntest du die Zeilen Posten..
Die Zeilen kann ich nicht posten weil ich das Addon bzw. den Code nicht habe


Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.
Ich mach das, damit die Leute die Zeche offline nehmen, den Bug finden und beheben sollte der "Progger" vom Addon schon selbst.

maniwelt
07.10.2008, 00:30
Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

Hmmm....

Flash-Zeche hab ich ja auch, aber, dort hab ich nicht mal drann gedacht Bonuslose einzubauen, wurde ja verkehrt sein :P

jpwfour
07.10.2008, 00:37
Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..


Evtl kennst du nicht viele "Addons" von mir, aber da wäre ich mal gespannt darauf, was du so für Lücken findest :wink:

Es ist absolut inaktzeptabel, für ein PHP Script, welches Solch schwerwiegenden Lücken enthält, Geld zu bezahlen!
Das sollte man nicht damit abtun, dass (leider) viel zu viele Addons/Games/Interfaces voll mit Fehlern/Lücken/unzureichend Input Validation sind!



selbst bei den Addons die man hier DL kann geht es meist.

Das mag zum Teil so sein, dann bitte aber einem aus dem Team (http://www.designerscripte.net/showgroups.php) melden, solche Fehler sollten doch so schnell als Möglich behoben werden.
Leider ist es uns aus Zeitgründen nicht Möglich, jedes Addon 100% zu testen.



Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Nicht valider HTML Code stellt aber "afaik" kein Sicherheitsrisiko da?



Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Nuja, also Tatsache ist, es gibt da ein "Zechen-Spiel", bei welchem soetwas Möglich ist, jetzt genau zu verraten wo und wie ist halt schlecht Möglich.

Jeder Webmaster/Admin, der so eine Zeche/mehrere auf PHP basierende drin hat, sollte diese sicherheitshalber einfach mal deaktivieren, evtl dann an cdp schreiben, ob er das testen kann, oder aber den Programmierer/Verkäufer zur Rede stellen.

Mir ist leider nicht bekannt, von wem dieses Spiel stammt.

EDIT: ich schreib mir heir nen Ast und gleich 2 kommen mir zuvor *heul* :wink:
bin für nen "safe lock" vom thread, sobald einer antwortet :yes:

Freesnooze
07.10.2008, 01:14
Oh man. Die Zeche hatte ich damals auch auf meiner alten Seite. :frusty:

Was mir aber gerade einfällt. Es gibt auch einen Bug in einem PN - Addon, welches Igelchen damals vertrieben hat (Und zwar kostenlos im Klammforum mit einem Haufen anderer Scripte dazu).

Mit "Hilfe" dieses Addons, soll/ist es möglich sich Zugang zum Adminforce und den ganzen Useraccounts zu machen.
Fragt mich nicht wie das geht - ich habe keine Ahnung und wenn ich eswüsse, dann würde ich es auch nicht sagen. ;)


Also woher ich das weiß:

Ihr kennt bestimmt noch www.lose-invest.de :knueppel::rolleyes::rant:
Als der Webbi weg war, hat ein User sich den Spass gemacht und alles auf den Kopf gestellt und unter anderem diesen Bug ausgenutzt, und wirres Zeug veranstaltet. Da es sehr zu meiner Belustigung war, habe ich auch nicht weiter darüber nachgedacht. ;)

Leider kenne ich nicht mehr den Namen des Users, wie er sich auf Lose-Invest nannte, der diesen Bug gefunden hatte. :redface:


Schönen Abend noch!

Gremlin
07.10.2008, 01:29
Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann :rolleyes:

eselfutter
07.10.2008, 10:02
Einige User haben es ja von Anfang an vermutet:
In den Addons von Igelchen sind einige schwere Sicherheitslücken....
Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Ich kann nur jedem raten, schaut euch die Herkunft der Addons genau an. Igelchen hat massig davon unter die Leute gebracht. Erst verkauft und dann verschenkt......

Gremlin
07.10.2008, 14:05
Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Ne die Zeche war nicht 4free da musste man noch ordentlich was für hinlegen.

jpwfour
07.10.2008, 14:29
Jo, es gibt da nicht nur Igelchen, sondern z.bsp.: auch noch diesen Gesellen hier:
http://www.designerscripte.net/showthread.php?t=6611
Weiß zwar nicht, wie es aktuell bei ihm aussieht, aber vorsicht ist da natürlich schon geboten.

Aber Gottseidank gibt es nun den Retter :wink:, der im Klammforum damit die Webmaster noch abzockt, indem er für nicht gerade wenig Lose anbietet, die Seite auf "bugs" zu überprüfen.
Wenn er dann welche findet, kostet die Behebung natürlich extra :frusty:
Hat der nen Vertrag mit den "schlechten" Proggern oder was?

(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

Frejia
07.10.2008, 14:58
(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

Hier ist der Beitrag den du gemeint hast:
http://www.klamm.de/forum/showthread.php?t=226374

Mone hat sich da mitlerweile schon- ich drücks mal höflich aus- kritisch dazu geäußert.

Gremlin
07.10.2008, 15:34
Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.

Freesnooze
07.10.2008, 20:25
Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann :rolleyes:


Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.

Ok, gut, dass du es jetzt schon hast. Ich konnte den ganzen Tag nicht on kommen, um dir das Addon zukommen zu lassen!

Genau irgendwas von HTML hatte "er" damals auch gesagt. Nunja ich hatte/habe halt keine Ahnung.:wink:

neoplacer
07.10.2008, 20:30
hi@All
mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
@jpwfour
Ich kenne leider keine addons von dir sry..
Gibt mir ein paar links via PM und ich kuck Sie mir mal an.
Tja es gibt halt viele die das nie so richtig gelernt haben aber trotzdem CODEN,
Was auch ihr gutes recht ist.
Man sieht das aber eigentlich schon am Quellcode..
Was es für ein Coder ist.
Wenig Kommentare
Keine Einrückung usw.
--> Schlechter Coder.

Ich persönlich arbeite meine Scripte in SVN als Versionsverwaltung, dass ist sehr Praktisch.
Wenn man dann noch ein Bug Script hat, wo man sich mögliche Risiken anzeigen lassen kann hat man fast ausgesorgt.(Kein CODE ist PERFEKT)[BUG FREI FÜR LOSE HM LOL]

@All
Vielleicht sollte designerscripte auch ein SVN Service für das VMS anbieten wo man Sicherheitspatchs in der Basis Version auf einfache weise einspielen kann.
Wo sich dann zum beispiele meiner einer ransetzten kann und das Template des Basissystem Valid machen kann. Weil kleine Fehler wie <br> --> <br /> nerven schon irgendwo.
Leider hatte ich bis jetzt ja immer noch keine Antwort auf meine Frage ob die Patches schon eingespielt sind oder nicht...

Laemmi
08.10.2008, 02:25
Hallo,
ich bin leidenschaftlicher Zechenspieler, spiele auf über 100 Loseseiten dieses Game. Dabei sind auch noch viele der im ersten Posting beschriebenen Zechen. Auf meiner eigenen Loseseite verwende ich nur die Flashzeche.

Nun hat mir die Sache keine Ruhe gelassen. Ich muss gleich sagen ich bin kein wirklicher Progger, ich hab nur paar kleine Grundkenntnisse womit ich mir selber Addons/Games/Interface einbauen kann oder mal ne Kleinigkeit an der Page basteln.

Zurück zur Zeche, hab nun zu später Stunde versucht diese html-Zeche zu manipulieren (ich kenne ja den Bug nicht den cdp gefunden hat) und mit Schrecken musste ich feststellen, ich hab es binnen weniger Minuten geschafft. Keine Ahnung ob ich die gleiche Schwachstelle ausgenutzt hab wie cdp aber ich kann diese Zeche definitiv manipulieren.

Ich hab es auf einer Seite getestet und den Admin sofort von diesem Thread in Kenntnis gesetzt (keine Bange hab mir damit keine Lose ergaunert!!! - ich bin ein ehrlicher Lump *g*). Nun hat mich noch interessiert wie es auf der Seite ausschaut die cdp genannt hat, also auch diese Zeche kann ich noch manipulieren. Also hat er den Bug dort nicht behoben??
Auch diesen Webmaster hab ich von dem Beitrag hier in Kenntnis gesetzt und keine Bange auch dort hab ich mich nicht bereichert!!

LG Laemmi

Gremlin
08.10.2008, 12:28
Also hat er den Bug dort nicht behoben??
Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.

Laemmi
08.10.2008, 15:34
Hallo,
ich werd im Laufe des Tages versuchen alle Webmaster die diese Zeche einsetzen zu informieren, dass sie erstmal die Zeche off nehmen.
Dann bräuchte man einen sehr guten Progger der in der Lage ist diese Lücke zu stopfen.

@cdp, bist du in der Lage den Fehler zu beheben?

LG Laemmi

MrRomeobln
08.10.2008, 15:47
Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.

Naja ich kenn Ihn ein wenig und meine links zu irgendwelchen Threads hat er meist unbeachtet gelassen, aber ich hab nen herz für tiere und habe ihn spontan von der Arbeit ans Handy beordert und Ihn Informiert das er diese umgehend offline nehmen soll - nun hilft nur noch tee trinken und abwarten.

Ach ja Danke Laemmi das Du auch an mich gedacht hast, auch wenn ich den Thread hier bereits kenne :-)

Laemmi
08.10.2008, 16:17
Hallo,
da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

Wie gesagt ich selber besitze nur die Flashzeche.

So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

LG Laemmi

Gothicman1
08.10.2008, 18:59
Ich habe jetzt mal gekramt. Kann es sein das die Zechen von Toplose (KID 142341) sind?
Ich habe noch die Zechen und die alte Lizenz dazu hier??

Auszug a. d. Lizenz:

Name des Scripts : Losehotel und Einzel / Multizeche / Megazeche / 1000erZeche / 10000erZeche
Lizenzart : Einzellizenz (Einzelplatz)

Kontakt:
Klamm-Nick: Toplose ( 142341)
Forum-Nick: Toplose

Habe gerade mal geschaut, selbst wenn er es ist haben wir da schlechte Karten, denn den User gibt es bei Klamm nicht mehr ;-(
Habe zwar noch ne Mailadresse aber ob die noch Gültigkeit hat, kann ich nicht sagen.


LG Gothicman1

TopMailerde
08.10.2008, 19:43
Vielen Dank für den Tip...

Habe gleichmal alles runtergehauen vom Server was mit der Zeche zu tun hat.

Gruß Rico

Hallo,
da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

Wie gesagt ich selber besitze nur die Flashzeche.

So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

LG Laemmi

Laemmi
08.10.2008, 20:06
Hallo,
also ich hab etwa 25 Webmaster informiert die diese Bug-Zeche in Einsatz haben. Konnte 2 Webmastern auch schon beweisen, ja ihre Zeche ist betroffen - ich hab nur Leute angeschrieben wo die Zeche unsicher ist. Zum Glück verschwindet sie jetzt langsam von den Seiten.

Der Hinweis mit dem Progger ist gut, aber wenn er nicht mehr kontaktierbar ist *stöhn*

Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.

LG laemmi

dragon11
08.10.2008, 20:18
Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.

LG laemmi

Ich habe evtl eine Lösung, da ich aber zu dumm bin, solche Lücken auszunützen, wäre es gut, du würdest dich mal bitte bei mir melden, um die Zeche jetzt zu testen.

Laemmi
08.10.2008, 20:38
Hallo,
schick mir ne PN mit der url deiner Seite dann teste ich ob es bei dir zutrifft. Irgendwelche Details über den Bug teile ich keiner Person mit!

LG Laemmi

Laemmi
08.10.2008, 23:01
Hallo,
jetzt bin ich mal voll kühn und mach nen Dopplepost *g*.

Ich hab jetzt noch relativ viele Seiten getestet und der Fehler trat überall in den normalen alten html-Zechen auf.

Die Userin dragon11 hat jetzt Abhilfe geschaffen. Wer von den Webmastern seine Zechen also wieder on nehmen will, wendet euch bitte an dragon11 sie hilft euch sicher.

Super wäre natürlich wenn cdp bei ihr nochmal an der Zeche testet, da ich ja unsicher bin ob ich den gleichen Fehler genutzt hab wie er.

LG Laemmi

Gothicman1
09.10.2008, 02:34
Hallo,

ich denke vieleicht an einen Codeschnipsel oder so, der öffentlich gemacht werden sollte. Es muss über den Bug offen gesprochen werden und nicht "nein ich sage es nicht" "ist es der richtige Bug oder ein anderer". Wenn sich jetzt jeder per PN an dragon11 wenden soll, wird Sie sich sicherlich bedanken.
Abhilfe kann nur geschaffen werden, wenn das Ding öffentlich gemacht wird. Ich denke so kommen wir hier zu keiner Lösung.

LG Gothicman1

Laemmi
09.10.2008, 09:48
Hallo,
also wie ihr das nun regelt, ok euer Ding. Mir lag nur eine Sache am Herzen - die Webmaster erstmal warnen und dann freute ich mich, dass jemand da war der die Lücke schliessen konnte. Damit könnten die Zechen wieder online gehen, was mich als Zechenspieler freuen würde.

So super offen drüber reden, sorry Gothicman ich hoffe sehr das meinst du nicht ernst. Soll ich gleich noch eine Anleitung posten wie ich den Bug nutzen konnte? Dann buch ich Werbung bei WML damit es möglichst jeder Klammuser lesen kann und dann schauen wir mal welche Seite zuerst leergefegt wurde *Kopfschüttel*.

Nicht jeder Webmaster liest hier mit, nicht jeder hat schon meine Warnung per Kontaktformular gelesen, nicht jede Seite mit Zeche kenne ich.

LG Laemmi

pauli1968
09.10.2008, 10:37
moin laemmi

hast du bei mir auch schon getestet denn du weisst ja ich habe absolut keinen plan vom proggen oder sonstigen sachen..

lg erik

Laemmi
09.10.2008, 11:23
Hallo Erik,
du hast doch nur die Flashzeche drin, die betrifft es nicht. Oder hast du noch ne andere Seite mit einer anderen Zeche? Dann hau mal Link als PN rüber.

LG Laemmi

pauli1968
09.10.2008, 11:29
hi laemmi

ne habe nur momentan die seite..dann bin ich beruhigt das es mich nicht betrifft habe die letzte zeit schon genug draufgelegt
danke dir

Gremlin
09.10.2008, 13:10
Die Zeche kann ich gerne nochmal testen bei dir @dragon11 kannst mir ja einen Url + Testzugang (mit 10 Mio Guthaben) per Email schicken gremlincomputer [at] gmx.de

Gothicman1
09.10.2008, 13:16
Hallo,

So super offen drüber reden, sorry Gothicman ich hoffe sehr das meinst du nicht ernst. Soll ich gleich noch eine Anleitung posten wie ich den Bug nutzen konnte? Dann buch ich Werbung bei WML damit es möglichst jeder Klammuser lesen kann und dann schauen wir mal welche Seite zuerst leergefegt wurde *Kopfschüttel*.


LG Laemmi

So meinte ich das nicht. Ich meinte das jemand der den Bug schon behoben hat, einen Codeschnipsel bastelt und dann postet, so das jeder Webmaster den Bug selbst ausschalten kann.

LG Gothicman1

Masterphil
09.10.2008, 13:52
Also meine Seite wurde offenbar auch getestet.

Ich musste sie vor Schreck erstmal auf Wartung setzten.

Die Zechen habe ich doch aber eigentlich entfernt, es gibt wohl andere Bugs.

Nun weiß ich nicht genau ob "Laemmi" das ist der das getestet hat, das wüsste ich gerne, da der User bei Klamm und Co gesperrt ist und auch als Faker beschimpft wird.

MfG

Gremlin
09.10.2008, 13:54
@Masterphil
Ich würde fast wetten das bei dir EukalyptusBar getestet hat ;-) wenn ja sperr ihn der nutzt gerne mal den ein oder anderen Bug aus.

Masterphil
09.10.2008, 14:03
@cdp: Genau dieser ist es, und er hat Bugs ausgenutzt die nicht durch die Zechen kommen, denn die Zechen hab ich vorgestern off genommen.

Er hat mir aber auch ne Nachricht hinterlassen das es einige Bugs auf meiner Seite gibt.

Betroffen sind wohl u.a. der Ritterslot und das Refkauf-Addon.

Nun, ich werde mal schauen, ist natürlich blöd sowas.

MfG

Laemmi
09.10.2008, 14:26
Hallo,

hö, hö langsam mit den jungen Pferden, nun haut mich nicht mit so einem Fuck-Abzocker in einen Topf!!!

@masterphil, welche Seite meinst du? Autolose? Da bin ich nicht angemeldet. Und ich hab nur Zechen getestet und hab jeweils den Admin sofort informiert! Auch hab ich keine Lose damit ergaunert sondern wollte nur die Webmaster warnen.

Mit diesem Dreck was der gesperrte User angestellt hat hab ich reinweg garnichts zu tun.

LG Laemmi

Masterphil
09.10.2008, 14:43
@ Leammi: Keine Panik, ich hatte ja extra gefragt ob du es warst, und CDP hat mir ja korrekt gesagt wer es ist, und das bist halt nicht du.

Da du gerade einige Seiten getestet hattest dachte ich halt erstmal an dich.

Aber wiegesagt, die Zechen sinds bei mir nicht, die hab ich schon entfernt eh das passiert war. Mal schauen ob der Eukabar mir schreibt was er wo gemacht hat.

So, nun muss ich aber erstmal los, also bis später.

MfG

dragon11
09.10.2008, 15:14
hi@All
mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.


hm, dann schau mal in dein refkauf-addon Zeile 19

Gremlin
09.10.2008, 15:33
Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
Das sollte man allgemein nicht tun, auch nicht wenn der Quellcode nicht offen ist.

Masterphil
09.10.2008, 21:55
@dragon11 & all: Das Refkauf-Addon das ich verwende ist von Doulten.

In Zeile 19 ligt der Fehler bei mir nicht, da wird der Werber und dessen Werber etc geprüft.

Könnte aber an den Zeilen danach liegen, wo der Kontostand etc geprüft werden.
Auch zu bedenken ist, das ich das Bonusose Addon eingebaut habe, vielleicht hängt es ja auch damit zusammen.

Bis jetzt hat sich der BugUser lleider nicht nochmal gemeldet, bis morgen geb ich ihn noch, eh ich ihn dann doch sperre.

Nagut, mal schauen wie es morgen ausschaut.

MfG

dragon11
09.10.2008, 23:35
Masterphil, ich meinte das Refkaufaddon von Neoplacer

Masterphil
10.10.2008, 00:07
Schade schade, dann sind wohl beide RefkaufScripts nichts wahres.

Also ich würde meine kaufen.php (Von Doultens Refkaufen-Script), wo anscheinend der Bug drin ist, gerne jemanden per PN schicken, der sich das dann mal anschaut, hab auch mal nen Blick drüber geworfen, aber so gut bin ich dann doch nicht das ich das selbst finde.

Da ich morgen meine Seite wieder on nehmen will muss ich wohl erstmal alles wo der "EukalyptusBar" gewütet und demonstriert hat rausnehmen.

Nagut, eine gute nacht euch allen erstmal noch.

MfG

Gremlin
10.10.2008, 00:14
Kannst mir die Datei gerne mal per Email schicken: gremlincomputer [at] gmx.de

Laemmi
10.10.2008, 11:53
Hallo,
@cdp, hast du ICQ? Wenn ja gib mir doch bitte mal deine Nummer per PN, müsste unbedingt mal mit dir quatschen!
Diese Sicherheitslückengeschichte nimmt doch ein grösseres Ausmass an!!

LG Laemmi

Frejia
10.10.2008, 14:52
Was mich jetzt noch interessieren würde ist wie die manipuierten Spiele in der Datenbank unter vms_buchungen auftauchen. Da müsste ja wenn mit negativem Einsatz oder mit einem Einsatz von 0 entweder eine Positive Buchung mit dem Verwendungszeck %Einsatz oder eben eine Buchung von 0,00 auftauchen. So sollte man doch nachvollziehen können ob gefakt wurde oder nicht, oder lässt sich der DB Eintrag auch manipulieren?

didith1207
10.10.2008, 16:27
soweit ich weis kann man die buchungen nicht manipulieren (gott sei dank!)

ich hab dank mithilfe von laemmi ein paar lücken schließen können hoffe meine slots sind nun alle sicher:knueppel:

dragon11
11.10.2008, 10:32
Ich versuche hier mal, das Problem bzw. die Problemlösung allgemeingültig zu beschreiben:
1. bei den Slots: der Wert, der mit $_POST['wert'] (für Wert steht oft einsatz) ist zu prüfen.
Wenn der Befehlt $variable = (int)$_POST['wert']; vorhanden ist, seid ihr zunächst insofern auf der sicheren Seite, dass nicht mit negativen Werten gespielt werden kann --> das wäre wirklich fatal, weil sich die user bereichern könnten.

2. und das ist das was Laemmi am meißten findet, ist die Tatsache, dass man mit Werten spielen kann, die nicht eingetragen sind.
Dieses Problem behebt man, indem man die zulässigen Einsätze in ein array einliest, was sie schon oft sind und dann eine Abfrage einbaut:
Beispiel aus safari:

if ( in_array($_POST["einsatz"],$einsatz) ) {
$preis = $_POST["einsatz"];
} else {echo "&result=ist das erlaubt?&";}3. Zechen
bei den Zechen ist es so, dass weder der Wert gesichert wird durch die (int), noch gefragt wird, ob der Einsatz gültig ist.
Am Beispiel der Einzelzeche hier die Lösung:
nach <? userstatus();
einfügen:

$zechen = mysql_query("SELECT * FROM einzelzeche ORDER BY zeche");
while($zwert = mysql_fetch_array($zechen)) {
$pattern[] = $zwert['zeche'];
}nach if ($spielen) {
einfügen:

if ( in_array($spielen,$pattern) ) {vor print <<<EOT seht ihr

}
}dazwischen einfügen:

} else {$zechemeldung = "<b><font color=\"red\"><center>Keine faulen Tricks!</b></font></center><br />";}Das war's. Das könnt ihr leicht auch in jeder anderen Zeche einfügen, ihr müßt nur den Tabellennamen austauschen.

Laemmi
11.10.2008, 13:59
Hallo,
@dragon11, Danke für die Mühe die du dir gemacht hast.

Eine Lösung für den Safari wäre auch (Danke an Parl und Didith1207) :

unter:

$einsatz = intval($_POST["einsatz"]);

dieses einfügen:

if ($einsatz != 1000 && $einsatz != 2500 && $einsatz != 5000 && $einsatz != 10000 && $einsatz != 25000 && $einsatz != 50000) die("&result=Fehlerhafter Einsatz&");

Natürlich die Zahlen an die Einsätze anpassen die ihr bei eurem Safari habt.

Dies lässt sich analog dann auch für andere Games anwenden, die feste Einsätze haben.

Bei Games die einen variablen Spieleinsatz haben könnt ihr folgendes verwenden:


if ($einsatz < 1000 or $einsatz > 100000) {
die();
}

Dabei natürlich wieder die Zahlen an euer Game anpassen.

Mit diesen 2 Methoden verhindert ihr das irgendwelche Spinner mit falschen Einsätzen an euren Games spielen.

Ich hab die letzten 2 Tage viele Games getestet und kann euch sagen es sind wirklich einige Games betroffen wo Abzockern Tür und Tor offensteht!

LG Laemmi

Gremlin
11.10.2008, 16:40
Bei solchen groben Sachen könnte man sogar noch einen Schritt weitergehen und den Account des Users automatisch sperren mit entsprechendem Hinweistext z.B.

"[11.10.2008 - 15:35] Faken in der Zeche (Einsatz manipuliert)"

So mach ich das bei mir weil den Einsatz kann man in der Regel nicht ausversehen manipulieren und so schützt man sich direkt davor.



$sperrgrund = '['.date("d.m.Y - H:i").'] Faken in der Zeche (Einsatz manipuliert)';
db_query('UPDATE '.$db_prefix.'_kontodaten SET status=3, hinweis="'.$sperrgrund.'" WHERE uid='.$_SESSION['uid'].' LIMIT 1');
:knueppel:

Gruß
cdp

dragon11
11.10.2008, 17:43
@Laemmi, meine gepostete Antwort ist richtig,

wie ich sagte, müssen die Einsätze in einem array sein.
Im Moment passiert nix, das ist auch richtig so.
Die Lösung von gremlin kommt erst rein, wenn es getestet ist.

Die Lösung die du anbietest ist auch richtig, aber viel zu umständlich, man kann die Einsätze bei vielen Spielen im Admin verändern, wer dann nicht daran denkt, auch in der _game.php zu ändern, wundert sich dann warum er soviele Faker hat.

DieH00ka
11.10.2008, 19:00
lol. ja das wäre doof ^^

wegen dem automatischen sperren.
wie genau binde ich das ein ?

Beispiel beim Safari-Slot (den entbugge ich gerade)


session_start();

$einsatz = intval($_POST["einsatz"]);
if ($einsatz != 25000 && $einsatz != 50000 && $einsatz != 100000 && $einsatz != 250000 && $einsatz != 500000 && $einsatz != 1000000) die("&result=Fehlerhafter Einsatz&");



wäre nett wenn du mir das in dem php-code gleich einbauen könntest

bulli
11.10.2008, 19:08
Was kann man eigentlich nun mei solchen Addons machen, bei denen man Text eingeben kann und in einer DB gespeichert wird, damit dort keine SQL Injections ein gefügt werden können oder das man keine Daten aus der DB auslesen kann?

DieH00ka
11.10.2008, 19:15
@ bulli

nettes Ava ;)

Jo die Frage ist ganz gut. Bei der bezahlten Shoutbox zum Beispiel.

eRaaaa
11.10.2008, 19:44
Was kann man eigentlich nun mei solchen Addons machen, bei denen man Text eingeben kann und in einer DB gespeichert wird, damit dort keine SQL Injections ein gefügt werden können oder das man keine Daten aus der DB auslesen kann?


mhm entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt. oder magic_quotes_gpc. aber beides auf garkeinen fall. denn das ist sozusagen wie doppelt negieren ;D (stripslashes() benutzen dann!, magic_quotes is aber eh veraltet und wird bald eh abgesrtz *g*)
ansonsten könntest du immer den typ umwandeln des übergebenen paramters, z.b. in int

Gremlin
11.10.2008, 20:07
entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt.Nicht korrekt, die Funktion db_query() bietet die Möglichkeit Variablen abzusichern dafür muss man sie aber richtig anwenden.

Die Funktion wird z.B. so genutzt:



db_query('SELECT status FROM %s WHERE `%s`=%d','vms_kontodaten','uid',184974);

Laemmi
11.10.2008, 20:08
Hallo,
Danke für die weiteren Anregungen.

LG Laemmi

FlexMax
18.10.2008, 11:45
EDIT: funktioniert leider nicht

jpwfour
18.10.2008, 11:55
Bei mehreren Einsätzen und der Übersicht halber kann man es auch so machen:


<?php
if(!in_array($einsatz,array(1000,5000,10000,50000) )) die("Falscher Einsatz");
?>

Da die() ja eh die Scriptausführung beenden sollte, kann man den Rest einfach danach einfügen.

Etwas umformen muss man das Ganze natürlich, wenn die Einsätze aus der Datenbank ausgelesen werden sollen.