Warnung: Sicherheitslücken in Addons

[Freesnooze]

Oh man. Die Zeche hatte ich damals auch auf meiner alten Seite.

Was mir aber gerade einfällt. Es gibt auch einen Bug in einem PN - Addon, welches Igelchen damals vertrieben hat (Und zwar kostenlos im Klammforum mit einem Haufen anderer Scripte dazu).

Mit "Hilfe" dieses Addons, soll/ist es möglich sich Zugang zum Adminforce und den ganzen Useraccounts zu machen.
Fragt mich nicht wie das geht - ich habe keine Ahnung und wenn ich eswüsse, dann würde ich es auch nicht sagen.


Also woher ich das weiß:

Ihr kennt bestimmt noch www.lose-invest.de
Als der Webbi weg war, hat ein User sich den Spass gemacht und alles auf den Kopf gestellt und unter anderem diesen Bug ausgenutzt, und wirres Zeug veranstaltet. Da es sehr zu meiner Belustigung war, habe ich auch nicht weiter darüber nachgedacht.

Leider kenne ich nicht mehr den Namen des Users, wie er sich auf Lose-Invest nannte, der diesen Bug gefunden hatte.


Schönen Abend noch!

[Gremlin]

Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann

[eselfutter]

Einige User haben es ja von Anfang an vermutet:
In den Addons von Igelchen sind einige schwere Sicherheitslücken....
Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Ich kann nur jedem raten, schaut euch die Herkunft der Addons genau an. Igelchen hat massig davon unter die Leute gebracht. Erst verkauft und dann verschenkt......

[Gremlin]

Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.

Ne die Zeche war nicht 4free da musste man noch ordentlich was für hinlegen.

[jpwfour]

Jo, es gibt da nicht nur Igelchen, sondern z.bsp.: auch noch diesen Gesellen hier:
http://www.designerscripte.net/showthread.php?t=6611
Weiß zwar nicht, wie es aktuell bei ihm aussieht, aber vorsicht ist da natürlich schon geboten.

Aber Gottseidank gibt es nun den Retter , der im Klammforum damit die Webmaster noch abzockt, indem er für nicht gerade wenig Lose anbietet, die Seite auf "bugs" zu überprüfen.
Wenn er dann welche findet, kostet die Behebung natürlich extra
Hat der nen Vertrag mit den "schlechten" Proggern oder was?

(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

[Frejia]

(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

Hier ist der Beitrag den du gemeint hast:
http://www.klamm.de/forum/showthread.php?t=226374

Mone hat sich da mitlerweile schon- ich drücks mal höflich aus- kritisch dazu geäußert.

[Gremlin]

Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.