News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 20
Seite [1]
logaan


King for a day




Herkunft: Gütersloh
Beiträge: 209
# Thema - 28.10.2006 um 18:55 Uhr
Hey leutz!!
Da is ne Sicherheitslücke die man leicht ausnutzen könnte.
Wenn man die index.php mit

** Information Deleted **


cya
logaan


------------------
portfolio.
Clanpage Video Tutorial

TemplateDesigner 1.02
Templates anpassen war noch nie so einfach...

Zuletzt editiert von Mr.AndersoN am 28.10.2006 um 18:57 Uhr (3x Editiert)
Inaktiv
Mr.AndersoN


Going for pro




Herkunft: Dresden
Beiträge: 529
# Antwort: 1 - 28.10.2006 um 18:57 Uhr
Danke, solche schwerwiegenden Sicherheitslücken am besten per Mail oder PN an einen der Entwickler!

Ich reich das weiter.


------------------
ClanSphere - professional clan care starts here






Inaktiv
|
Baumi


Try to beat me





Beiträge: 159
# Antwort: 2 - 28.10.2006 um 19:06 Uhr
was kann man denn mit der sicherheitslücke erreichen?


------------------

Alles was das Herz begehrt: http://www.sentic.org

Counterstrike PublicServer: 80.190.77.75:27015

Inaktiv
|
Mr.AndersoN


Going for pro




Herkunft: Dresden
Beiträge: 529
# Antwort: 3 - 28.10.2006 um 19:12 Uhr
Sessionid, verschlüsseltes PW etc auslesen.


------------------
ClanSphere - professional clan care starts here






Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 4 - 28.10.2006 um 19:21 Uhr
vielen dank


Inaktiv
|
Baumi


Try to beat me





Beiträge: 159
# Antwort: 5 - 28.10.2006 um 22:01 Uhr
okay, dann weiß ich jetzt schon, dass das naechste update für mich auf alle fälle pflicht werden wird!


------------------

Alles was das Herz begehrt: http://www.sentic.org

Counterstrike PublicServer: 80.190.77.75:27015

Inaktiv
|
Passi K.


Try to beat me





Beiträge: 111
# Antwort: 6 - 28.10.2006 um 22:20 Uhr
ich hoffe das ihr das update schnell rausbringt.

Ich möchte kein zweites mal gehackt werden.

1 mal schon länger her.


------------------


Inaktiv
|
Mr.AndersoN


Going for pro




Herkunft: Dresden
Beiträge: 529
# Antwort: 7 - 28.10.2006 um 22:24 Uhr
Ihr solltet soweit erstmal darauf achten, dass von Usern keine Links mit dem Muster gepostet werden.


------------------
ClanSphere - professional clan care starts here






Zuletzt editiert von Mr.AndersoN am 28.10.2006 um 22:24 Uhr (1x Editiert)
Inaktiv
|
Passi K.


Try to beat me





Beiträge: 111
# Antwort: 8 - 28.10.2006 um 22:37 Uhr
welchen mustern ? :>


------------------


Inaktiv
|
Mr.AndersoN


Going for pro




Herkunft: Dresden
Beiträge: 529
# Antwort: 9 - 28.10.2006 um 22:52 Uhr
Hust...huch...ganz übersehen jetzt.
Wenn ein Link auf eine eigene Datei (Bsp. index.php) verlinkt wird, und dahinter in irgend einer Art Javascript angehangen wird.

Javascript fängt bekanntlich mit <script> an...


------------------
ClanSphere - professional clan care starts here






Inaktiv
|
Passi K.


Try to beat me





Beiträge: 111
# Antwort: 10 - 28.10.2006 um 23:02 Uhr
ok, verstehe nur bahnhof.

hoffe trotzdem das ihr das so schnell wie möglich fixt.
Denn jetzt ist es auf der Clansphere Seite bekannt und wer weiss was einige jetzt tuen um das zwischen die finger zu bekommen um ihren freunden oder sonstwem etwas heimzuzahlen. Kein Bock das unsere Seite morgen down ist. :>


------------------


Inaktiv
|
Baumi


Try to beat me





Beiträge: 159
# Antwort: 11 - 29.10.2006 um 08:52 Uhr
dann liegt der fehler meiner ersten einschätzung zu Folge daran, dass eine kleine Variabele welche über den Header weitergegeben wird nicht auf ihren Datentyp (gehe mal von Integer aus) überprüft wird und anschließend ungefildert im Quelltext verwendet wird.


------------------

Alles was das Herz begehrt: http://www.sentic.org

Counterstrike PublicServer: 80.190.77.75:27015

Inaktiv
|
logaan
Thread-Ersteller


King for a day




Herkunft: Gütersloh
Beiträge: 209
# Antwort: 12 - 29.10.2006 um 13:01 Uhr
ok, verstehe nur bahnhof.

hoffe trotzdem das ihr das so schnell wie möglich fixt.
Denn jetzt ist es auf der Clansphere Seite bekannt und wer weiss was einige jetzt tuen um das zwischen die finger zu bekommen um ihren freunden oder sonstwem etwas heimzuzahlen. Kein Bock das unsere Seite morgen down ist. :>


Keine Angst Passi Wenn jemand versucht die Sicherheitslücke auf eurer Seite versucht aus zu nutzen, sieht man das sofort, da der Link, wie Mr. Anderson ganz richtig sagt, auf eure eigene Seite (index.php) + merkwürdige Zeichen (...%20%3FScRipT... = encodierte URL) geht.

Ausserdem braucht es schon ein klein wenig Know-How um sich ein PHP Script zu schreiben, dass dann deine Daten auswertet und abspeichert. Und dann muss er auch noch wissen was er mit den gehashten Daten anfangen könnte. Also ich denke das das schon mal gut 70% der Script Kiddies zu viel sein wird und aufgeben...

Naja und dann wurde ja auch noch die Information oben gelöscht.
Btw: sry, demnächst gibt's dann PN

cya
logaan


------------------
portfolio.
Clanpage Video Tutorial

TemplateDesigner 1.02
Templates anpassen war noch nie so einfach...

Inaktiv
|
Passi K.


Try to beat me





Beiträge: 111
# Antwort: 13 - 29.10.2006 um 13:03 Uhr
dennoch kann man die sicherheitslücke nicht offen lassen.


------------------


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 14 - 29.10.2006 um 13:08 Uhr
die geht scheinbar ohne bzw. auf jeder unterseite, werde mal paar experten in der richtung zu dem problem befragen und euch dann anfang kommender woche eine lösung bereitstellen soweit möglich.


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
logaan
Thread-Ersteller


King for a day




Herkunft: Gütersloh
Beiträge: 209
# Antwort: 15 - 29.10.2006 um 14:22 Uhr
oh... gleich nen 2. Loch gefunden :/


------------------
portfolio.
Clanpage Video Tutorial

TemplateDesigner 1.02
Templates anpassen war noch nie so einfach...

Inaktiv
|
kasrk1n ClanSphere Team


Poststar





Beiträge: 703
# Antwort: 16 - 29.10.2006 um 15:23 Uhr
dann hör auf deine Freundin auszuziehen ^^

scherz beiseite .. schon jemand benachrichtigt?


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 17 - 29.10.2006 um 15:54 Uhr
jap

danke nochmal, sehe mir auch das an


Inaktiv
|
Baumi


Try to beat me





Beiträge: 159
# Antwort: 18 - 29.10.2006 um 16:24 Uhr
oh... gleich nen 2. Loch gefunden :/


Solche Leute braucht die Community!

Ich denke dass gerade durch das angagierte Handeln solcher Leute das Projekt immer weiter vorangetrieben wird! (was hier teilweise zu selten erwähnt wird)


------------------

Alles was das Herz begehrt: http://www.sentic.org

Counterstrike PublicServer: 80.190.77.75:27015

Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 19 - 29.10.2006 um 17:13 Uhr
das wurde bei x!sign.dll im alten board meiner meinung nach oft genug gesagt, gerade weil ich den nicht leiden konnte

ist natürlich trotzdem so, deshalb bedanke ich mich schließlich :>


Zuletzt editiert von duRiel ClanSphere Team am 29.10.2006 um 17:13 Uhr (1x Editiert)
Inaktiv
|
logaan
Thread-Ersteller


King for a day




Herkunft: Gütersloh
Beiträge: 209
# Antwort: 20 - 29.10.2006 um 18:42 Uhr
jo, kein Ding


------------------
portfolio.
Clanpage Video Tutorial

TemplateDesigner 1.02
Templates anpassen war noch nie so einfach...

Inaktiv
|
Antworten: 20
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo