hi@All
mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
@jpwfour
Ich kenne leider keine addons von dir sry..
Gibt mir ein paar links via PM und ich kuck Sie mir mal an.
Tja es gibt halt viele die das nie so richtig gelernt haben aber trotzdem CODEN,
Was auch ihr gutes recht ist.
Man sieht das aber eigentlich schon am Quellcode..
Was es für ein Coder ist.
Wenig Kommentare
Keine Einrückung usw.
--> Schlechter Coder.
Ich persönlich arbeite meine Scripte in SVN als Versionsverwaltung, dass ist sehr Praktisch.
Wenn man dann noch ein Bug Script hat, wo man sich mögliche Risiken anzeigen lassen kann hat man fast ausgesorgt.(Kein CODE ist PERFEKT)[BUG FREI FÜR LOSE HM LOL]
@All
Vielleicht sollte designerscripte auch ein SVN Service für das VMS anbieten wo man Sicherheitspatchs in der Basis Version auf einfache weise einspielen kann.
Wo sich dann zum beispiele meiner einer ransetzten kann und das Template des Basissystem Valid machen kann. Weil kleine Fehler wie <br> --> <br /> nerven schon irgendwo.
Leider hatte ich bis jetzt ja immer noch keine Antwort auf meine Frage ob die Patches schon eingespielt sind oder nicht...
Hallo,
ich bin leidenschaftlicher Zechenspieler, spiele auf über 100 Loseseiten dieses Game. Dabei sind auch noch viele der im ersten Posting beschriebenen Zechen. Auf meiner eigenen Loseseite verwende ich nur die Flashzeche.
Nun hat mir die Sache keine Ruhe gelassen. Ich muss gleich sagen ich bin kein wirklicher Progger, ich hab nur paar kleine Grundkenntnisse womit ich mir selber Addons/Games/Interface einbauen kann oder mal ne Kleinigkeit an der Page basteln.
Zurück zur Zeche, hab nun zu später Stunde versucht diese html-Zeche zu manipulieren (ich kenne ja den Bug nicht den cdp gefunden hat) und mit Schrecken musste ich feststellen, ich hab es binnen weniger Minuten geschafft. Keine Ahnung ob ich die gleiche Schwachstelle ausgenutzt hab wie cdp aber ich kann diese Zeche definitiv manipulieren.
Ich hab es auf einer Seite getestet und den Admin sofort von diesem Thread in Kenntnis gesetzt (keine Bange hab mir damit keine Lose ergaunert!!! - ich bin ein ehrlicher Lump *g*). Nun hat mich noch interessiert wie es auf der Seite ausschaut die cdp genannt hat, also auch diese Zeche kann ich noch manipulieren. Also hat er den Bug dort nicht behoben??
Auch diesen Webmaster hab ich von dem Beitrag hier in Kenntnis gesetzt und keine Bange auch dort hab ich mich nicht bereichert!!
LG Laemmi
Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.Also hat er den Bug dort nicht behoben??
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Hallo,
ich werd im Laufe des Tages versuchen alle Webmaster die diese Zeche einsetzen zu informieren, dass sie erstmal die Zeche off nehmen.
Dann bräuchte man einen sehr guten Progger der in der Lage ist diese Lücke zu stopfen.
@cdp, bist du in der Lage den Fehler zu beheben?
LG Laemmi
Naja ich kenn Ihn ein wenig und meine links zu irgendwelchen Threads hat er meist unbeachtet gelassen, aber ich hab nen herz für tiere und habe ihn spontan von der Arbeit ans Handy beordert und Ihn Informiert das er diese umgehend offline nehmen soll - nun hilft nur noch tee trinken und abwarten.
Ach ja Danke Laemmi das Du auch an mich gedacht hast, auch wenn ich den Thread hier bereits kenne :-)
Hallo,
da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.
Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?
Wie gesagt ich selber besitze nur die Flashzeche.
So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.
LG Laemmi
Ich habe jetzt mal gekramt. Kann es sein das die Zechen von Toplose (KID 142341) sind?
Ich habe noch die Zechen und die alte Lizenz dazu hier??
Auszug a. d. Lizenz:
Name des Scripts : Losehotel und Einzel / Multizeche / Megazeche / 1000erZeche / 10000erZeche
Lizenzart : Einzellizenz (Einzelplatz)
Kontakt:
Klamm-Nick: Toplose ( 142341)
Forum-Nick: Toplose
Habe gerade mal geschaut, selbst wenn er es ist haben wir da schlechte Karten, denn den User gibt es bei Klamm nicht mehr ;-(
Habe zwar noch ne Mailadresse aber ob die noch Gültigkeit hat, kann ich nicht sagen.
LG Gothicman1
Hallo,
also ich hab etwa 25 Webmaster informiert die diese Bug-Zeche in Einsatz haben. Konnte 2 Webmastern auch schon beweisen, ja ihre Zeche ist betroffen - ich hab nur Leute angeschrieben wo die Zeche unsicher ist. Zum Glück verschwindet sie jetzt langsam von den Seiten.
Der Hinweis mit dem Progger ist gut, aber wenn er nicht mehr kontaktierbar ist *stöhn*
Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.
LG laemmi