Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..
selbst bei den Addons die man hier DL kann geht es meist.
Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.
Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.
Das ist ja das schlimme daran ...Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Oh man es ist ein großer Unterschied ob der HTML Code valide ist oder ob man in paar Sekunden den EF leer räumen kann, außerdem ist das 1.2.x in der Grundversion Valide.Kuck man sich nur mal den HTML Code mit dem Validator an.
Die Zeilen kann ich nicht posten weil ich das Addon bzw. den Code nicht habeKönntest du die Zeilen Posten..
Ich mach das, damit die Leute die Zeche offline nehmen, den Bug finden und beheben sollte der "Progger" vom Addon schon selbst.Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Evtl kennst du nicht viele "Addons" von mir, aber da wäre ich mal gespannt darauf, was du so für Lücken findestZitat von neoplacer
Es ist absolut inaktzeptabel, für ein PHP Script, welches Solch schwerwiegenden Lücken enthält, Geld zu bezahlen!
Das sollte man nicht damit abtun, dass (leider) viel zu viele Addons/Games/Interfaces voll mit Fehlern/Lücken/unzureichend Input Validation sind!
Das mag zum Teil so sein, dann bitte aber einem aus dem Team melden, solche Fehler sollten doch so schnell als Möglich behoben werden.
Leider ist es uns aus Zeitgründen nicht Möglich, jedes Addon 100% zu testen.
Nicht valider HTML Code stellt aber "afaik" kein Sicherheitsrisiko da?
Nuja, also Tatsache ist, es gibt da ein "Zechen-Spiel", bei welchem soetwas Möglich ist, jetzt genau zu verraten wo und wie ist halt schlecht Möglich.
Jeder Webmaster/Admin, der so eine Zeche/mehrere auf PHP basierende drin hat, sollte diese sicherheitshalber einfach mal deaktivieren, evtl dann an cdp schreiben, ob er das testen kann, oder aber den Programmierer/Verkäufer zur Rede stellen.
Mir ist leider nicht bekannt, von wem dieses Spiel stammt.
EDIT: ich schreib mir heir nen Ast und gleich 2 kommen mir zuvor *heul*
bin für nen "safe lock" vom thread, sobald einer antwortet
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
Oh man. Die Zeche hatte ich damals auch auf meiner alten Seite.
Was mir aber gerade einfällt. Es gibt auch einen Bug in einem PN - Addon, welches Igelchen damals vertrieben hat (Und zwar kostenlos im Klammforum mit einem Haufen anderer Scripte dazu).
Mit "Hilfe" dieses Addons, soll/ist es möglich sich Zugang zum Adminforce und den ganzen Useraccounts zu machen.
Fragt mich nicht wie das geht - ich habe keine Ahnung und wenn ich eswüsse, dann würde ich es auch nicht sagen.
Also woher ich das weiß:
Ihr kennt bestimmt noch www.lose-invest.de
Als der Webbi weg war, hat ein User sich den Spass gemacht und alles auf den Kopf gestellt und unter anderem diesen Bug ausgenutzt, und wirres Zeug veranstaltet. Da es sehr zu meiner Belustigung war, habe ich auch nicht weiter darüber nachgedacht.
Leider kenne ich nicht mehr den Namen des Users, wie er sich auf Lose-Invest nannte, der diesen Bug gefunden hatte.
Schönen Abend noch!
Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Einige User haben es ja von Anfang an vermutet:
In den Addons von Igelchen sind einige schwere Sicherheitslücken....
Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Ich kann nur jedem raten, schaut euch die Herkunft der Addons genau an. Igelchen hat massig davon unter die Leute gebracht. Erst verkauft und dann verschenkt......
Ne die Zeche war nicht 4free da musste man noch ordentlich was für hinlegen.Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Jo, es gibt da nicht nur Igelchen, sondern z.bsp.: auch noch diesen Gesellen hier:
http://www.designerscripte.net/showthread.php?t=6611
Weiß zwar nicht, wie es aktuell bei ihm aussieht, aber vorsicht ist da natürlich schon geboten.
Aber Gottseidank gibt es nun den Retter, der im Klammforum damit die Webmaster noch abzockt, indem er für nicht gerade wenig Lose anbietet, die Seite auf "bugs" zu überprüfen.
Wenn er dann welche findet, kostet die Behebung natürlich extra
Hat der nen Vertrag mit den "schlechten" Proggern oder was?
(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
Berechtigungen
