Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: BlindSQL-Injection Game-Pool Addon Skandal für VMS 1.x

  1. #1
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8

    BlindSQL-Injection Game-Pool Addon Skandal für VMS 1.x

    Hallo,

    ich möchte melden, dass sich in dem Addon eine BlindSQL-Injection Vulnerability befindet. Wieder ist es der Parameter $_POST['id'], anscheinend findet auch hier keinerlei Überprüfung statt.
    Andere Lücken in dem Addon sind möglich, ich habe nur diese eine Lücke geblackboxed, den Rest habe ich mir noch nicht angeschaut.

    Nachzulesen: http://bettlerlose.de

    Wäre nett wenn jemand Skandal hierauf aufmerksam machen kann.

    Gruß
    Drakor

  2. #2
    suche:
    if (!isset($_POST['buy'])) $_POST['buy']= "";

    und füge darunter das hier ein:

    $_POST['id']=abs(intval($_POST['id']));

  3. #3
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Dankeschön, waren das alle, die in dem Skript existierten ?

    wieso arbeiten die Leute hier eigentlich nicht mit einer diff ähnlichen Software ?

    Gruß
    Drakor

  4. #4
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Drakor Beitrag anzeigen
    ...
    wieso arbeiten die Leute hier eigentlich nicht mit einer diff ähnlichen Software ?
    ...
    Wen meinst du damit, und was sollte das bringen?

    Dadurch beheben sich Bugs auch nicht von selbst und ein Großteil der "Kunden" hat schon Probleme, Dateien korrekt via FTP hochzuladen, da wäre jeder diff-ähnliche Ansatz wohl zu viel verlangt (geschweige denn können sicher auch viele der im Klammlose-Bereich tätigen "Programmierer" nicht richtig mit solchen Tools umgehen).
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  5. #5
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Wieso, durch das diff wirds doch noch einfacher ?
    Dann braucht der User das Addon nurnoch hochladen und der Progger nur ne .diff als Patch bereitstellen.

    (wobei das diff Format wohl nicht ganz tauglich ist, aber aus anderen Gründen)

  6. #6
    Pff, du hast noch nie für Addons Support geben müssen, oder?

    Da muss für .diff wieder Software installiert werden, die Leute haben keine Ahnung wie sie das bedienen und regen sich drüber auf, wieso das nicht wie bei allen anderen Addons ganz einfach sein kann...


  7. #7
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Du hast noch nie mit diff-Files gearbeitet oder ?

    Ich stell mir das eher so vor: Im Adminforce gibt es den Unterpunkt "Diff-Patch" mit einem "Hochladen"-Button. Dort wird die Diff-File hochgeladen und vom Addon ausgeführt... fertig. Unten drunter steht jeweils welche Diff-File bereits angewandt wurde. Also das ist doch sehr viel einfacher als irgendson Anleitungsgedöhns.

    Drakor

  8. #8
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Drakor Beitrag anzeigen
    ...Im Adminforce gibt es den Unterpunkt "Diff-Patch" mit einem "Hochladen"-Button. Dort wird die Diff-File hochgeladen und vom Addon ausgeführt... fertig. ...
    Ausgeführt via Systemaufruf? Kannste dann schonmal knicken da die meisten Billig-Webspace nutzen, wo das nicht möglich ist.

    Ausgeführt via PHP Skript? Auf alle Dateien Schreibrechte (dass machen die Webbis zwar sicher 1x, wenn man es ihnen sagt, aber ich würde das nicht machen), nötige Skripte dafür müssten wohl noch mind. 1 Jahr lang PHP 4 unterstützen.

    Und der Faktor, dass nicht alle, die Addons vertreiben, diff's erstellen können/wollen, insofern würde wohl selbst wenn man jetzt das ins Grundskript integriert und ausfürliche Anleitungen bereitstellt, nur ein sehr kleiner Anteil bestehender Addons angepasst werden, und auch von den neuen nur ein kleiner Teil damit erstellt werden.

    Daher hat vermutlich kaum jemand Lust, sowas einzubauen.

    Und selbst wenn man das alles ausser Acht lässt, spätestens sobald 2 Addons bzw. deren diff's konkurrieren, steigen 98% aller Klammlose-Webbis aus, dass ist zwar bei den aktuellen "Anleitungen" das selbe Problem, aber nur dafür extra was Neues zu erfinden, bei dem die gleichen Probleme auftreten, glaube ich will auch kaum jemand


    Ich würde so ein System bspw. auch nicht nutzen, da man so viel "Schrott" untergejubelt bekommt, so dass ich mir gerne erst mal ganz genau anschaue, was der Ersteller da "gebastelt" hat, wäre mit einem diff File natürlich auch möglich, aber wenn ich schon beim durchschauen bin hab ich die Codezeilen genauso schnell auch reinkopiert.
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  9. #9
    Erfahrener Benutzer Avatar von hankfromhelvete
    Registriert seit
    26.04.2007
    Beiträge
    633
    Der Vorteil an der manuellen Installation ist auch: Man kann direkt die Fehler des Proggers beheben

  10. #10
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Nun:

    1. keine Schreibrechte: Kein Problem, der Webbi hinterlegt beim Addon die FTP-Daten und dann kann das Skript die Rechte selber modifizieren.

    2. kaum Addons: Das alte nicht umgerüstet werden ist nicht schlimm, solange genug das neue System nutzen. Da der Progger ja auch nur ein Programm über die Datei laufen lassen muss -> weniger Arbeit, was dem Progger zuvorkommt.
    Und da das Addon dann ja (sofern sowas nicht von Anfang an im VMS dabei ist) frei verfügbar ist ist, kommt es einer Verbreitung sehr entgegen.

    3. Addon-Überschneidungen : Es würde ja sogar besser sein, wenn die Addons die dafür vorgesehene Plugin-Stelle nutzen, somit gibts keine Überschneidungen, man denke an das Modul-System des VMS. Pech nur, dass da in einigen Versionen sowas von der Wurm drin war, dass es kaum Addons gibt, die dieses System nutzen.(vorwiegend Schrott-Addons) (Anmerkung: Ich bin strenger Befürworter des Modul-Systems und mache davon ausreichend Gebrauch, da dort sowas wie Überschneidungen z..b. gar nicht auftauchen KÖNNEN)

    4. viel Schrott: naja, das diff zwingt zu mehr Disziplin und hat den Vorteil, dass die Schrott-Progger keine Chance im Wettbewerb haben und irgendwann verschwinden, was sicher ein positiver Nebeneffekt ist .

    EDIT: @PHP5: Ich bin der Ansicht, dass nach 7 Jahren im Umlauf, wohl das einzige sein sollte, wofür programmiert wird. Leute, es kann nicht sein, dass es überhaupt noch Webspaces auf Php4 Basis gibt oO. Das sollte gleich zum scheitern verurteilt sein.

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. [V] Game-Pool-Anteile von Skandal
    Von Gecko1 im Forum Scripte
    Antworten: 1
    Letzter Beitrag: 13.04.2010, 20:51
  2. PN-Center by Skandal - XSS & SQL Injection
    Von Gremlin im Forum Sicherheitslücken
    Antworten: 6
    Letzter Beitrag: 05.03.2009, 06:22
  3. Game-Pool-Anteile
    Von thomeshop im Forum Support zu Addons & Erweiterungen
    Antworten: 2
    Letzter Beitrag: 15.01.2009, 15:23
  4. SQL Injection - Addon für Firefox
    Von Hardy im Forum Talk, talk, talk...
    Antworten: 5
    Letzter Beitrag: 08.01.2009, 16:35

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •