Warnung: Sicherheitslücken in Addons

[Jenny]

Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.

[MrRomeobln]

Nabend Cdp & rest,

@cdp meinst Du die Flash-Zeche oder nur die etwas älteren die von der Optik her recht überholungsbedürftig ausschauen(ausgenommen natürlich deine Bonus-Zeche) ?

[Gremlin]

Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

[jpwfour]

hm, hier schauen die dateien aber so aus:
/einzelzeche/zeche.php
/multiplayzeche/zeche.php
/multizeche/zeche.php

[Gremlin]

Wo ist denn "hier"? Wenn du von "hier" mal einen Testzugang hast kann ich ja mal testen ob es da auch den Bug gibt.

[maniwelt]

Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

Hmmm....

Flash-Zeche hab ich ja auch, aber, dort hab ich nicht mal drann gedacht Bonuslose einzubauen, wurde ja verkehrt sein :P

[eselfutter]

Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.

Ich kenne die Addons nicht, aber nach meiner Einschätzung liegt da eher das Problem bei der umgeschriebenen Funktion kontobuchung.
Es werden da ja lediglich die Kontostände addiert. Ist die Summe dieser Stände für den Spieleinsatz nicht ausreichend, dann wird auch kein Spiel gestartet.
Wenn aber in der Funktion kontobuchung nicht auf ein Minuslaufen der Bonuslose geachtet wurde dann hat man ein Problem.....

[neoplacer]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..
selbst bei den Addons die man hier DL kann geht es meist.

Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

[Gremlin]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.

Das ist ja das schlimme daran ...

Kuck man sich nur mal den HTML Code mit dem Validator an.

Oh man es ist ein großer Unterschied ob der HTML Code valide ist oder ob man in paar Sekunden den EF leer räumen kann, außerdem ist das 1.2.x in der Grundversion Valide.

Könntest du die Zeilen Posten..

Die Zeilen kann ich nicht posten weil ich das Addon bzw. den Code nicht habe

Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Ich mach das, damit die Leute die Zeche offline nehmen, den Bug finden und beheben sollte der "Progger" vom Addon schon selbst.

[jpwfour]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..

Evtl kennst du nicht viele "Addons" von mir, aber da wäre ich mal gespannt darauf, was du so für Lücken findest

Es ist absolut inaktzeptabel, für ein PHP Script, welches Solch schwerwiegenden Lücken enthält, Geld zu bezahlen!
Das sollte man nicht damit abtun, dass (leider) viel zu viele Addons/Games/Interfaces voll mit Fehlern/Lücken/unzureichend Input Validation sind!

selbst bei den Addons die man hier DL kann geht es meist.

Das mag zum Teil so sein, dann bitte aber einem aus dem Team melden, solche Fehler sollten doch so schnell als Möglich behoben werden.
Leider ist es uns aus Zeitgründen nicht Möglich, jedes Addon 100% zu testen.

Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Nicht valider HTML Code stellt aber "afaik" kein Sicherheitsrisiko da?

Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Nuja, also Tatsache ist, es gibt da ein "Zechen-Spiel", bei welchem soetwas Möglich ist, jetzt genau zu verraten wo und wie ist halt schlecht Möglich.

Jeder Webmaster/Admin, der so eine Zeche/mehrere auf PHP basierende drin hat, sollte diese sicherheitshalber einfach mal deaktivieren, evtl dann an cdp schreiben, ob er das testen kann, oder aber den Programmierer/Verkäufer zur Rede stellen.

Mir ist leider nicht bekannt, von wem dieses Spiel stammt.

EDIT: ich schreib mir heir nen Ast und gleich 2 kommen mir zuvor *heul*
bin für nen "safe lock" vom thread, sobald einer antwortet