Seite 3 von 7 ErsteErste 12345 ... LetzteLetzte
Ergebnis 21 bis 30 von 66

Thema: Warnung: Sicherheitslücken in Addons

  1. #21
    Erfahrener Benutzer
    Registriert seit
    11.01.2008
    Beiträge
    483
    Zitat Zitat von cdp Beitrag anzeigen
    Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann
    Zitat Zitat von cdp Beitrag anzeigen
    Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.
    Ok, gut, dass du es jetzt schon hast. Ich konnte den ganzen Tag nicht on kommen, um dir das Addon zukommen zu lassen!

    Genau irgendwas von HTML hatte "er" damals auch gesagt. Nunja ich hatte/habe halt keine Ahnung.

  2. #22
    Erfahrener Benutzer Avatar von neoplacer
    Registriert seit
    23.07.2006
    Beiträge
    158
    hi@All
    mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
    Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
    Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
    @jpwfour
    Ich kenne leider keine addons von dir sry..
    Gibt mir ein paar links via PM und ich kuck Sie mir mal an.
    Tja es gibt halt viele die das nie so richtig gelernt haben aber trotzdem CODEN,
    Was auch ihr gutes recht ist.
    Man sieht das aber eigentlich schon am Quellcode..
    Was es für ein Coder ist.
    Wenig Kommentare
    Keine Einrückung usw.
    --> Schlechter Coder.

    Ich persönlich arbeite meine Scripte in SVN als Versionsverwaltung, dass ist sehr Praktisch.
    Wenn man dann noch ein Bug Script hat, wo man sich mögliche Risiken anzeigen lassen kann hat man fast ausgesorgt.(Kein CODE ist PERFEKT)[BUG FREI FÜR LOSE HM LOL]

    @All
    Vielleicht sollte designerscripte auch ein SVN Service für das VMS anbieten wo man Sicherheitspatchs in der Basis Version auf einfache weise einspielen kann.
    Wo sich dann zum beispiele meiner einer ransetzten kann und das Template des Basissystem Valid machen kann. Weil kleine Fehler wie <br> --> <br /> nerven schon irgendwo.
    Leider hatte ich bis jetzt ja immer noch keine Antwort auf meine Frage ob die Patches schon eingespielt sind oder nicht...

  3. #23
    Erfahrener Benutzer
    Registriert seit
    22.03.2007
    Beiträge
    171
    Hallo,
    ich bin leidenschaftlicher Zechenspieler, spiele auf über 100 Loseseiten dieses Game. Dabei sind auch noch viele der im ersten Posting beschriebenen Zechen. Auf meiner eigenen Loseseite verwende ich nur die Flashzeche.

    Nun hat mir die Sache keine Ruhe gelassen. Ich muss gleich sagen ich bin kein wirklicher Progger, ich hab nur paar kleine Grundkenntnisse womit ich mir selber Addons/Games/Interface einbauen kann oder mal ne Kleinigkeit an der Page basteln.

    Zurück zur Zeche, hab nun zu später Stunde versucht diese html-Zeche zu manipulieren (ich kenne ja den Bug nicht den cdp gefunden hat) und mit Schrecken musste ich feststellen, ich hab es binnen weniger Minuten geschafft. Keine Ahnung ob ich die gleiche Schwachstelle ausgenutzt hab wie cdp aber ich kann diese Zeche definitiv manipulieren.

    Ich hab es auf einer Seite getestet und den Admin sofort von diesem Thread in Kenntnis gesetzt (keine Bange hab mir damit keine Lose ergaunert!!! - ich bin ein ehrlicher Lump *g*). Nun hat mich noch interessiert wie es auf der Seite ausschaut die cdp genannt hat, also auch diese Zeche kann ich noch manipulieren. Also hat er den Bug dort nicht behoben??
    Auch diesen Webmaster hab ich von dem Beitrag hier in Kenntnis gesetzt und keine Bange auch dort hab ich mich nicht bereichert!!

    LG Laemmi

  4. #24
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Also hat er den Bug dort nicht behoben??
    Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  5. #25
    Erfahrener Benutzer
    Registriert seit
    22.03.2007
    Beiträge
    171
    Hallo,
    ich werd im Laufe des Tages versuchen alle Webmaster die diese Zeche einsetzen zu informieren, dass sie erstmal die Zeche off nehmen.
    Dann bräuchte man einen sehr guten Progger der in der Lage ist diese Lücke zu stopfen.

    @cdp, bist du in der Lage den Fehler zu beheben?

    LG Laemmi

  6. #26
    Erfahrener Benutzer Avatar von MrRomeobln
    Registriert seit
    03.07.2006
    Beiträge
    649
    Zitat Zitat von cdp Beitrag anzeigen
    Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.
    Naja ich kenn Ihn ein wenig und meine links zu irgendwelchen Threads hat er meist unbeachtet gelassen, aber ich hab nen herz für tiere und habe ihn spontan von der Arbeit ans Handy beordert und Ihn Informiert das er diese umgehend offline nehmen soll - nun hilft nur noch tee trinken und abwarten.

    Ach ja Danke Laemmi das Du auch an mich gedacht hast, auch wenn ich den Thread hier bereits kenne :-)


  7. #27
    Erfahrener Benutzer
    Registriert seit
    22.03.2007
    Beiträge
    171
    Hallo,
    da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

    Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

    Wie gesagt ich selber besitze nur die Flashzeche.

    So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

    LG Laemmi

  8. #28
    Erfahrener Benutzer Avatar von Gothicman1
    Registriert seit
    20.07.2006
    Beiträge
    147
    Ich habe jetzt mal gekramt. Kann es sein das die Zechen von Toplose (KID 142341) sind?
    Ich habe noch die Zechen und die alte Lizenz dazu hier??

    Auszug a. d. Lizenz:

    Name des Scripts : Losehotel und Einzel / Multizeche / Megazeche / 1000erZeche / 10000erZeche
    Lizenzart : Einzellizenz (Einzelplatz)

    Kontakt:
    Klamm-Nick: Toplose ( 142341)
    Forum-Nick: Toplose

    Habe gerade mal geschaut, selbst wenn er es ist haben wir da schlechte Karten, denn den User gibt es bei Klamm nicht mehr ;-(
    Habe zwar noch ne Mailadresse aber ob die noch Gültigkeit hat, kann ich nicht sagen.


    LG Gothicman1

  9. #29
    Neuer Benutzer
    Registriert seit
    05.02.2008
    Beiträge
    19
    Vielen Dank für den Tip...

    Habe gleichmal alles runtergehauen vom Server was mit der Zeche zu tun hat.

    Gruß Rico
    Zitat Zitat von Laemmi Beitrag anzeigen
    Hallo,
    da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

    Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

    Wie gesagt ich selber besitze nur die Flashzeche.

    So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

    LG Laemmi

  10. #30
    Erfahrener Benutzer
    Registriert seit
    22.03.2007
    Beiträge
    171
    Hallo,
    also ich hab etwa 25 Webmaster informiert die diese Bug-Zeche in Einsatz haben. Konnte 2 Webmastern auch schon beweisen, ja ihre Zeche ist betroffen - ich hab nur Leute angeschrieben wo die Zeche unsicher ist. Zum Glück verschwindet sie jetzt langsam von den Seiten.

    Der Hinweis mit dem Progger ist gut, aber wenn er nicht mehr kontaktierbar ist *stöhn*

    Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.

    LG laemmi

Seite 3 von 7 ErsteErste 12345 ... LetzteLetzte

Ähnliche Themen

  1. Warnung vor hoschibear!
    Von RainbowDash im Forum User
    Antworten: 9
    Letzter Beitrag: 18.12.2012, 13:44
  2. Sicherheitslücken
    Von Pauli1990 im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 29.11.2010, 00:23
  3. Firefox 3.0.4 schließt neun Sicherheitslücken
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 13.11.2008, 10:38
  4. Neue KTorrent-Version schließt Sicherheitslücken
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 28.10.2008, 12:13
  5. Kritische Sicherheitslücken in Adobe Flash 9
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 16.10.2008, 18:00

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •