Warnung: Sicherheitslücken in Addons

[Gremlin]

Hallo,
in den letzten Tagen bin ich vermehrt auf Sicherheitslücken in Addons gestoßen mit denen es möglich ist in Kürze die Betreiberkonten leer zu räumen.

Ein kurzes Beispiel:
Habe ich vor wenigen Minuten bei Verliebt-in-Lose.net getestet um es euch und dem Betreiber zu demonstrieren.

Harmlos angefangen mit einer kleinen Einzahlung um zu testen ob der Bug vorhanden ist! Und das war er:

06.10.2008 - 00:57 VpYpNMyNuDJX9I 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 q28xbTjQpLv1HJ 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 yt6bNTSYJshsYf 1.000.000,00 **** - Gewonnen

Daraufhin nochmal nachgezahlt um das schneller auszunutzen:

06.10.2008 - 01:00 EZ7SJwMDtVDm1E 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 yYp3VUeucQuVzP 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 FXwwS6lgtVhjTM 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 wH8LJ612ikrb5u 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 X86xlXa7W4N0LN 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 7sZnCXkyZ2mxyT 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 1RyOzthWXjrSZY 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 Tdb6fSrbH4h3Rf 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 JV2rCNwnqZPA8U 10.000.000,00**** - Gewonnen
06.10.2008 - 00:58 JOSg062PxGdrmR 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:58 AAMUEwzqMYvLjL 10.000.000,00**** - Gewonnen

Fazit: 4 minuten Arbeit -> 103 Mio Gewinn! (welche ich dem Admin natürlich wieder gebe )

Hätte ich noch mehr Guthaben eingezahlt hätte ich das ganze noch viel höher machen können und so in wenigen Sekunden mehrere Milliarden Lose generieren können welche ich mir dann - bei einem gut gefülltem EF - schnell mal ausgezahlt habe.


Appel an die Webmaster:
Baut nicht jedes Addon ein was es mal für 1 Mio an der Ecke gibt, 1 Mio sind 17cent dafür macht ein guter Progger nichtmal seinen Editor auf, wenn ihr was kauft schaut in den Code und prüft ihn auf Lücken, oder wenn ihr es nicht selbst könnt holt euch einen Co-Admin der es kann!

Appel an die "Progger":
Achtet endlich mal auf mehr Sicherheit, bei dem entsprechenden Spiel wo ich diesen Bug ausgenutzt habe sind es 2-3 Zeilen Code welche den Bug hätten verhindern können.

Betroffenes Addon / Game in diesem Fall:
- Zeche (Die Zeche die es in einem Paket mit mehreren Zechen gab)

Informationen wie man den Bug ausnutzt wird es nicht geben auch nicht per PM etc.

Einen Bugfix kann ich auch nicht bieten da ich den Code der Zeche nicht vorliegen habe und mir diesen Mist bestimmt auch nicht kaufe wer also
Interesse an einem Bugfix hat, sollte sich bevorzugt an den Programmierer des Zechenaddons wenden und zwischenzeitlich die Zeche offline nehmen (einfach nur Link wegmachen reich nicht weil kluge Faker ihn bestimmt gespeichert haben deshalb Dateien vom Server löschen)

In Kürze gibt es in diesem Thread bestimmt noch weitere Addons die von Bugs betroffen sind.

Gruß
cdp

[Jenny]

Was cdp gesagt hat gilt auch für viele Seiten mit den Bonuslose-Addons!!! Es gibt einen Haufen Spiele die keine Sicherheitssperre habe und bzw. wo Sicherheitssperren durch den Bonuslose Code umgangen werden und so Minuskontostände ohne Probleme möglich werden, auch wenn die Spiele vorher nicht ins Minus gespielt werden konnten!!!!

[halk]

Was cdp gesagt hat gilt auch für viele Seiten mit den Bonuslose-Addons!!! Es gibt einen Haufen Spiele die keine Sicherheitssperre habe und bzw. wo durch den Bonuslose Code umgangen werden und so Minuskontostände ohne Probleme möglich werden, auch wenn die Spiele vorher nicht ins Minus gespielt werden konnten!!!!

Hallo!

Das mit den Bonuslose *Sicherheitssperren* musste mal erklären. und vielleicht auch wie man dies verhindern kann. wäre doch interessant zu wissen.

Mfg halk

[Jenny]

Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.

[MrRomeobln]

Nabend Cdp & rest,

@cdp meinst Du die Flash-Zeche oder nur die etwas älteren die von der Optik her recht überholungsbedürftig ausschauen(ausgenommen natürlich deine Bonus-Zeche) ?

[Gremlin]

Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

[eselfutter]

Nun, so weit ich bisher sehen konnte gibt es zwei Addons.

Beide sind mit Haken und Ösen und wer ein wenig unerfahren ist hat ein Problem.

Beide die ich kenne arbeiten nach dem Prinzip $kontostand+$bonuslose

bei manchen Spielen wird nicht alles über php geregelt, speziell auch der Einsatz nicht und so führt ein Umbau häufig zu Minuskontoständen da das eingeben eines $kontostand= floor ($row[kontostand]+$row[bonuslose]);

und eines

$row[kontostand]+$row[bonuslose] < $einsatz)

leider nicht unbedingt den gewünschten Effekt erzielt

d.h. also es muss alles komplett durch getestet werden wo bonuslose mit zum Einsatz kommen.

Ich kenne die Addons nicht, aber nach meiner Einschätzung liegt da eher das Problem bei der umgeschriebenen Funktion kontobuchung.
Es werden da ja lediglich die Kontostände addiert. Ist die Summe dieser Stände für den Spieleinsatz nicht ausreichend, dann wird auch kein Spiel gestartet.
Wenn aber in der Funktion kontobuchung nicht auf ein Minuslaufen der Bonuslose geachtet wurde dann hat man ein Problem.....

[neoplacer]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..
selbst bei den Addons die man hier DL kann geht es meist.

Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

[Laemmi]

Hallo,
ich bin leidenschaftlicher Zechenspieler, spiele auf über 100 Loseseiten dieses Game. Dabei sind auch noch viele der im ersten Posting beschriebenen Zechen. Auf meiner eigenen Loseseite verwende ich nur die Flashzeche.

Nun hat mir die Sache keine Ruhe gelassen. Ich muss gleich sagen ich bin kein wirklicher Progger, ich hab nur paar kleine Grundkenntnisse womit ich mir selber Addons/Games/Interface einbauen kann oder mal ne Kleinigkeit an der Page basteln.

Zurück zur Zeche, hab nun zu später Stunde versucht diese html-Zeche zu manipulieren (ich kenne ja den Bug nicht den cdp gefunden hat) und mit Schrecken musste ich feststellen, ich hab es binnen weniger Minuten geschafft. Keine Ahnung ob ich die gleiche Schwachstelle ausgenutzt hab wie cdp aber ich kann diese Zeche definitiv manipulieren.

Ich hab es auf einer Seite getestet und den Admin sofort von diesem Thread in Kenntnis gesetzt (keine Bange hab mir damit keine Lose ergaunert!!! - ich bin ein ehrlicher Lump *g*). Nun hat mich noch interessiert wie es auf der Seite ausschaut die cdp genannt hat, also auch diese Zeche kann ich noch manipulieren. Also hat er den Bug dort nicht behoben??
Auch diesen Webmaster hab ich von dem Beitrag hier in Kenntnis gesetzt und keine Bange auch dort hab ich mich nicht bereichert!!

LG Laemmi

[Gremlin]

Also hat er den Bug dort nicht behoben??

Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.