Mit VMS1 26 Milliarden Lose aus dem Nichts..

[Gothicman1]

Hallo,

ich hatte bei mir gestern einen User, der konnte wohl Lose aus dem Nichts auf meiner Seite generieren.
Bei Klamm ist er schon gesperrt. Er hat es geschafft in 20 Minuten auf meiner Seite über 25 Milliarden Lose irgent wie aus dem Nichts entstehen zu lassen, ohne das irgent etwas in der Datenbank oder geschweige denn im Buchungstext zu finden ist. Er hat auch keine Aktivpunkte oder Verzinsung bekommen, was bei diesen Losebetrag sehr verwunderlich ist. Selbst der Refverdienst war 1 einziges Los. Der Buchungstext bleibt leer.
Kontostand des Users war: 25362412101.30 Lose
Leider geht die Buchungsanzeige nur bis zum 2 stelligen Millionenbereich.
Hier mal ein kleiner Auschnitt aus den Buchungen, den Usernamen habe ich weg gemacht:


20.07.2007 - 22:16 Uhr 99.999.999,99
20.07.2007 - 22:16 Uhr 99.999.999,99
20.07.2007 - 22:16 Uhr 99.999.999,99
20.07.2007 - 22:15 Uhr -99.999.999,99
20.07.2007 - 22:15 Uhr 99.999.999,99
20.07.2007 - 22:15 Uhr 99.999.999,99
20.07.2007 - 22:15 Uhr 99.999.999,99
20.07.2007 - 22:15 Uhr -99.999.999,99
20.07.2007 - 22:15 Uhr 99.999.999,99
20.07.2007 - 22:15 Uhr 99.999.999,99
20.07.2007 - 22:14 Uhr 99.999.999,99
20.07.2007 - 22:14 Uhr 99.999.999,99
20.07.2007 - 22:14 Uhr 99.999.999,99
20.07.2007 - 22:14 Uhr -90.000.000,00
20.07.2007 - 22:14 Uhr 77.597.631,00
20.07.2007 - 22:14 Uhr 77.597.631,00
20.07.2007 - 22:13 Uhr 77.597.631,00
20.07.2007 - 22:13 Uhr 77.597.631,00
20.07.2007 - 22:13 Uhr -60.000.000,00
20.07.2007 - 22:13 Uhr 23.597.631,00
20.07.2007 - 22:13 Uhr 23.597.631,00
20.07.2007 - 22:13 Uhr 23.597.631,00
20.07.2007 - 22:12 Uhr -20.000.000,00
20.07.2007 - 22:12 Uhr 5.597.631,00
20.07.2007 - 22:12 Uhr 5.597.631,00
20.07.2007 - 22:12 Uhr 5.597.631,00
20.07.2007 - 22:12 Uhr -2.000.000,00
20.07.2007 - 22:12 Uhr 3.797.631,00

Dies ist nur ein kleiner Auschnitt wie gesagt es fehlt der Buchungstext und der User hatte vorher 1000 Lose auf seinem Konto.
Kann sich das jemand erklären?

LG Gothicman1

[DimpleX]

grüß dich schade das wir nur von einander lesen wenn du wieder mal opfer von betrügern bist


der hat denke ich mal ne mysql injektion gemacht kannst mir mal an DimpleX@FakerHunter.de die serverlogs(http_access.log)senden dann schaue ich mir das an wie er es genau gemahct hat


gruß
DimpleX

[MasterG]

Kann man gegen solche Injektionen was machen?

[swinxx]

Original von MasterG
Kann man gegen solche Injektionen was machen?

Machen kann man sicher was dagegen, die Frage ist nur was ?

cu, Swinxx

[Hardy]

Original von swinxx

Original von MasterG
Kann man gegen solche Injektionen was machen?

Machen kann man sicher was dagegen, die Frage ist nur was ?

cu, Swinxx

Also als erstes mal noHTMLnick einbauen.Dann ganz einfach die abfrage zum ändern des nicknames aus dem userprofil nehmen und somit hat man schonmal einen großen schritt gegen die gängige sql-injektionen getan.Dazu gibt es noch das addon sicherheits-funktion aus dem dl bereich der die sonderzeichen maskiert allerdings kann es auch zu problemen bei einigen addons kommen (bei mir war es zb das bank addon was dann nicht mehr ging)

[Gothicman1]

[/quote]

Also als erstes mal noHTMLnick einbauen.Dann ganz einfach die abfrage zum ändern des nicknames aus dem userprofil nehmen und somit hat man schonmal einen großen schritt gegen die gängige sql-injektionen getan.Dazu gibt es noch das addon sicherheits-funktion aus dem dl bereich der die sonderzeichen maskiert allerdings kann es auch zu problemen bei einigen addons kommen (bei mir war es zb das bank addon was dann nicht mehr ging)[/quote]

Ja aber bei mir ist die Eingabe des Nicknamens schon auf 10 Zeichen begrenzt, so das man keinen HTML Code einsetzen kann. Man kann den Usernamen zwar ändern, doch auch nicht auf mehr als 10 Zeichen. Ich denke daran kann es nicht gelegen haben.

LG Gothicman1

[Koki12]

GeiL wär ja nur, wenn diese dann auch aufn EF Account sind !

[Hardy]

Original von Koki12
GeiL wär ja nur, wenn diese dann auch aufn EF Account sind !

können sie ja auch aber bitte im tresor

[MasterG]

Und wie macht man das mit dem noHTMLnick???

[Benutzer1699]

ich würde einfach mal alle db_querys und mysql_querys prüfen. Alle Angaben aus Variablen mal mit mysql_real_escape_string bearbeiten.

Falls jemand Probleme hat... Sollte jemand das VMS2 benutzen habe ich eine Modifikation der Klassen-Datei parat... nicht von unabhängigen Usern erprobt.

www.php.net/mysql_real_escape_string