Antworten: 20
Seite [1] |
|
logaan King for a day Herkunft: Gütersloh Beiträge: 209 |
# Thema - 28.10.2006 um 18:55 Uhr
Hey leutz!! Da is ne Sicherheitslücke die man leicht ausnutzen könnte. Wenn man die index.php mit ** Information Deleted ** cya logaan ------------------ portfolio. Clanpage Video Tutorial TemplateDesigner 1.02 Templates anpassen war noch nie so einfach... Zuletzt editiert von Mr.AndersoN am 28.10.2006 um 18:57 Uhr (3x Editiert)
|
Inaktiv |
|
Mr.AndersoN Going for pro Herkunft: Dresden Beiträge: 529 |
# Antwort: 1 - 28.10.2006 um 18:57 Uhr
Danke, solche schwerwiegenden Sicherheitslücken am besten per Mail oder PN an einen der Entwickler! Ich reich das weiter. ------------------ ClanSphere - professional clan care starts here
|
Inaktiv |
|
Baumi Try to beat me Beiträge: 159 |
# Antwort: 2 - 28.10.2006 um 19:06 Uhr
was kann man denn mit der sicherheitslücke erreichen? ------------------ Alles was das Herz begehrt: http://www.sentic.org Counterstrike PublicServer: 80.190.77.75:27015 |
Inaktiv |
|
Mr.AndersoN Going for pro Herkunft: Dresden Beiträge: 529 |
# Antwort: 3 - 28.10.2006 um 19:12 Uhr
Sessionid, verschlüsseltes PW etc auslesen. ------------------ ClanSphere - professional clan care starts here
|
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 4 - 28.10.2006 um 19:21 Uhr
vielen dank |
Inaktiv |
|
Baumi Try to beat me Beiträge: 159 |
# Antwort: 5 - 28.10.2006 um 22:01 Uhr
okay, dann weiß ich jetzt schon, dass das naechste update für mich auf alle fälle pflicht werden wird! ------------------ Alles was das Herz begehrt: http://www.sentic.org Counterstrike PublicServer: 80.190.77.75:27015 |
Inaktiv |
|
Passi K. Try to beat me Beiträge: 111 |
# Antwort: 6 - 28.10.2006 um 22:20 Uhr
ich hoffe das ihr das update schnell rausbringt. Ich möchte kein zweites mal gehackt werden. 1 mal schon länger her. ------------------ |
Inaktiv |
|
Mr.AndersoN Going for pro Herkunft: Dresden Beiträge: 529 |
# Antwort: 7 - 28.10.2006 um 22:24 Uhr
Ihr solltet soweit erstmal darauf achten, dass von Usern keine Links mit dem Muster gepostet werden. ------------------ ClanSphere - professional clan care starts here
Zuletzt editiert von Mr.AndersoN am 28.10.2006 um 22:24 Uhr (1x Editiert) |
Inaktiv |
|
Passi K. Try to beat me Beiträge: 111 |
# Antwort: 8 - 28.10.2006 um 22:37 Uhr
welchen mustern ? :> ------------------ |
Inaktiv |
|
Mr.AndersoN Going for pro Herkunft: Dresden Beiträge: 529 |
# Antwort: 9 - 28.10.2006 um 22:52 Uhr
Hust...huch...ganz übersehen jetzt. Wenn ein Link auf eine eigene Datei (Bsp. index.php) verlinkt wird, und dahinter in irgend einer Art Javascript angehangen wird. Javascript fängt bekanntlich mit <script> an... ------------------ ClanSphere - professional clan care starts here
|
Inaktiv |
|
Passi K. Try to beat me Beiträge: 111 |
# Antwort: 10 - 28.10.2006 um 23:02 Uhr
ok, verstehe nur bahnhof. hoffe trotzdem das ihr das so schnell wie möglich fixt. Denn jetzt ist es auf der Clansphere Seite bekannt und wer weiss was einige jetzt tuen um das zwischen die finger zu bekommen um ihren freunden oder sonstwem etwas heimzuzahlen. Kein Bock das unsere Seite morgen down ist. :> ------------------ |
Inaktiv |
|
Baumi Try to beat me Beiträge: 159 |
# Antwort: 11 - 29.10.2006 um 08:52 Uhr
dann liegt der fehler meiner ersten einschätzung zu Folge daran, dass eine kleine Variabele welche über den Header weitergegeben wird nicht auf ihren Datentyp (gehe mal von Integer aus) überprüft wird und anschließend ungefildert im Quelltext verwendet wird. ------------------ Alles was das Herz begehrt: http://www.sentic.org Counterstrike PublicServer: 80.190.77.75:27015 |
Inaktiv |
|
logaan Thread-Ersteller King for a day Herkunft: Gütersloh Beiträge: 209 |
# Antwort: 12 - 29.10.2006 um 13:01 Uhr
ok, verstehe nur bahnhof. hoffe trotzdem das ihr das so schnell wie möglich fixt. Denn jetzt ist es auf der Clansphere Seite bekannt und wer weiss was einige jetzt tuen um das zwischen die finger zu bekommen um ihren freunden oder sonstwem etwas heimzuzahlen. Kein Bock das unsere Seite morgen down ist. :> Keine Angst Passi Wenn jemand versucht die Sicherheitslücke auf eurer Seite versucht aus zu nutzen, sieht man das sofort, da der Link, wie Mr. Anderson ganz richtig sagt, auf eure eigene Seite (index.php) + merkwürdige Zeichen (...%20%3FScRipT... = encodierte URL) geht. Ausserdem braucht es schon ein klein wenig Know-How um sich ein PHP Script zu schreiben, dass dann deine Daten auswertet und abspeichert. Und dann muss er auch noch wissen was er mit den gehashten Daten anfangen könnte. Also ich denke das das schon mal gut 70% der Script Kiddies zu viel sein wird und aufgeben... Naja und dann wurde ja auch noch die Information oben gelöscht. Btw: sry, demnächst gibt's dann PN cya logaan ------------------ portfolio. Clanpage Video Tutorial TemplateDesigner 1.02 Templates anpassen war noch nie so einfach... |
Inaktiv |
|
Passi K. Try to beat me Beiträge: 111 |
# Antwort: 13 - 29.10.2006 um 13:03 Uhr
dennoch kann man die sicherheitslücke nicht offen lassen. ------------------ |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 14 - 29.10.2006 um 13:08 Uhr
die geht scheinbar ohne bzw. auf jeder unterseite, werde mal paar experten in der richtung zu dem problem befragen und euch dann anfang kommender woche eine lösung bereitstellen soweit möglich. ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
|
logaan Thread-Ersteller King for a day Herkunft: Gütersloh Beiträge: 209 |
# Antwort: 15 - 29.10.2006 um 14:22 Uhr
oh... gleich nen 2. Loch gefunden :/ ------------------ portfolio. Clanpage Video Tutorial TemplateDesigner 1.02 Templates anpassen war noch nie so einfach... |
Inaktiv |
|
kasrk1n Poststar Beiträge: 703 |
# Antwort: 16 - 29.10.2006 um 15:23 Uhr
dann hör auf deine Freundin auszuziehen ^^ scherz beiseite .. schon jemand benachrichtigt? |
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 17 - 29.10.2006 um 15:54 Uhr
jap danke nochmal, sehe mir auch das an |
Inaktiv |
|
Baumi Try to beat me Beiträge: 159 |
# Antwort: 18 - 29.10.2006 um 16:24 Uhr
oh... gleich nen 2. Loch gefunden :/ Solche Leute braucht die Community! Ich denke dass gerade durch das angagierte Handeln solcher Leute das Projekt immer weiter vorangetrieben wird! (was hier teilweise zu selten erwähnt wird) ------------------ Alles was das Herz begehrt: http://www.sentic.org Counterstrike PublicServer: 80.190.77.75:27015 |
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 19 - 29.10.2006 um 17:13 Uhr
das wurde bei x!sign.dll im alten board meiner meinung nach oft genug gesagt, gerade weil ich den nicht leiden konnte ist natürlich trotzdem so, deshalb bedanke ich mich schließlich :> Zuletzt editiert von duRiel am 29.10.2006 um 17:13 Uhr (1x Editiert) |
Inaktiv |
|
logaan Thread-Ersteller King for a day Herkunft: Gütersloh Beiträge: 209 |
# Antwort: 20 - 29.10.2006 um 18:42 Uhr
jo, kein Ding ------------------ portfolio. Clanpage Video Tutorial TemplateDesigner 1.02 Templates anpassen war noch nie so einfach... |
Inaktiv |
|
Antworten: 20
Seite [1] |
Sie müssen sich registrieren, um zu antworten. |