VMS Forum

[jpwfour]

Leider gibt es noch eine Menge weitere Addons die einen Sqli sowie XSS ermöglichen, leider konnte ich die Hersteller des Script bisher nicht finden.

Das is klar, da die Qualität von Addons im Klammlosebereich überwiegend eher grottenschlecht ist

Sollte es aber Addons sein, die sich hier im Downloadbereich finden, fixen wir das soweit als Möglich oder nehmen die raus.

Wenn du alle Ersteller von Addons anschreiben willst, dass sie ihre Fehler beseitigen, na denn viel Spass

Gerade die mit den Addons die Sicherheitslücken haben, sind meist nicht (mehr) erreichbar, und/oder schieben alle Schuld von sich, die Shopbetreiber die sowas anbieten sind zum Großteil auch nicht kooperativ.

Wird zwar regelmäßig versucht, da die Leute (seien es nun die Programmierer, Shopbetreiber oder Webbis) wachzurütteln, aber das als Anmerkung um dir die Enttäuschung dann leichter zu machen

@All zwecks Update auf neue Version:

Die Funktionen aus der Datei functionen.txt (Anleitungsschritt 2) sollten neu eingetragen werden und
die 4 Dateien im Ordner content/forum sollten wenn möglich ersetzt werden.

Wer da schon Anpassungen vorgenommen hat, kann ja seine Datei mit der neuen Vergleichen, dazu als Anhaltspunkt, folgende Zeilen wurden eingesetzt/geändert in der neuen Version:
index.php: 6
makepost.php: 58, 91
showforum.php: 9, 10
showtopic.php: 14, 15, 16

[Pauli1990]

jpwfour ich würde das Gefixxte Addon gerne teste, wenn du es mir erlaubst.

[jpwfour]

jpwfour ich würde das Gefixxte Addon gerne teste, wenn du es mir erlaubst.

Kein Ding, da musst du mich nicht fragen, sofern du es dir selber installierst (lokal/Testserver) darfst du es so ausführlich testen, wie du willst

Solltest du es auf Seiten anderer Leute "testen" wollen, werde ich dir natürlich dazu kein "OK" geben, denke versteht sich von selbst (und ich hab es nicht online damit du es da testen könntest).

Is' eh generell kritisch, klar findet man solche Lücken am besten wenn ein Skript im Einsatz ist, aber da auch schon das Ausprobieren auf einer Seite u.U. strafbar sein kann, sollte man das eher nicht machen, ohne den Betreiber vorher zu fragen, schreibt man ihn nämlich nachher an und sagt: "Hey du übrigens kann ich deine EF Daten einsehen" könnte er einen ja schon direkt anzeigen (mit Geständnis dazu wie praktisch ).

[Pauli1990]

Naja Soweit geh ich gar nicht.

Ich sehe diese Lücken (Erfahrungswerte), man ändert im Grunde nur die "Url" oben im Browser um.

Dies ist nicht Strafbar, man erkennt ja wie sich das script verhält nach dieser Eingabe.
Und so erkenne ich, wo die Lücken vorhanden sind, das neue Forum ist von Sqli befreit. Auf XSS teste ich es bei gelegenheit.

[marcaust]

Das ist ein Irrglaube. Das verändern der URL stellt genauso eine Manipulation dar wie das Verändern des Formulars selber oder durch entsprechende Eingaben in den Formularfeldern.
Ziel ist es das Script dazu zu bewegen etwas anderes zu tun als das wofür es vorgesehen ist. Die Übertragungsmethode spielt dabei keine Rolle.

Kurz: Das Ausprobieren ohne Erlaubnis, egal wie, ist in jedem Fall schon eine Strafbare Handlung.

[Pauli1990]

Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten

Den link darf man verändern wie man will Ich gelange ja so nicht auf den Server oder so

Ich sehe nur wie das Script sich bewegt

XSS Test mache ich heute abend.

[jpwfour]

Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten

Den link darf man verändern wie man will Ich gelange ja so nicht auf den Server oder so ...

Jo, sicher hat der Betreiber einer Seite auch die Pflicht, das Skript abzusichern, bzw. trägt die Verantwortung zum Großteil selbst.

Trotzdem darfst du nicht frei die URL manipulieren, besonders wenn du weist, was dabei rauskommt (also mit kriminellem Hintergedanken), meiner Meinung nach, bin ja auch kein Jurist

Meist passiert ja nicht viel, aber wenn du durch die Manipulation in Kauf nimmst, persönliche Daten anderer Nutzer der Seite einzusehen oder zu manipulieren, machst du dich schon mit großer Wahrscheinlichkeit strafbar.

Naja is auch jedem seine eigene Sache, ich persönlich würde sowas bei anderen Seiten jedenfalls nicht machen, ohne vorher zu fragen.

[marcaust]

Das der Webseiten Betreiber sein Seite sauber halten muss erlaubt dir noch lange nicht die übergebenen Daten zu Manipulieren.

Es spricht wohl nichts dagegen wenn du z.Bsp.: aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page=20
machst um direkt auf eine bestimmt Unterseite zu gelangen.

Machst du aber aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page='include...' oder
http://designerscripte.net/showthread.php?t=13232&page=ichwilldieDatenbankaus lesen
etc.
stellt das in jedem Fall ein Angriff auf die Seite dar. Vollkommen egal ob die das abfängt, dir die komplette DB anzeigt oder du mittels so eingebundenem Script gar Root Zugriff auf dem Server erlangst (und ja, bei schlecht konfigurierten Servern / Fehlerhaften Scripten geht das!).

Strafrechtlich kannst du in jedem Fall dafür belangt werden wenn du das nur versuchst. Selbst wenn du keinen Schaden dabei anrichtest. Auch spielt es keine Rolle welche Übergabe Methode du verwendest. Dem Betreiber der Seite passiert dabei rechtlich rein gar nichts, völlig egal wie unsicher das verwendete Script ist.

Wenn du mir nicht glaubst, mach dich bei nem Anwalt darüber mal richtig schlau. Ich hab das Thema durch seitdem mir mal einer über ein gekauftes Script nen Virus per $_Get (also URL Übergabe) auf den Server geladen hatte. Ist zwar ne Weile her aber sowas vergisst man nicht so schnell.