Hallo zusammen,

ich bin derzeit als Co-Admin bei einigen Seiten tätig. Auf eine dieser Seiten gab es heute Vorfälle, die bis dato noch nicht so vorgekommen sind. Es wurden Seitenintern von einem Account Lose zu anderen Accounts transferiert, ohne dass der Inhaber der rechtmässigen Lose diese transfers vorgenommen hat. Der Inhaber des "geplünderten" Accounts versicherte mir, dass sein Passwort aus mehreren Buchstaben und Zahlenkombinationen besteht. Die Empfänger der Lose sind erst seit heute auf der Seite angemeldet und definitiv keine Refs des geplünderten Users. Meine Frage geht nun soweit, dass ich gerne wüsste, ob es irgendwie möglich ist, durch ein eventuelles Leck im Script, interne Losetransfers vorzunehmen?

Danke schonmal für eure Hilfe

Aloaman

P.S.: Die Seite befindet sich natürlich im Wartungsmodus, um weitere ungewollte Losetransfers zu vermeiden!

Hast du ein "intern Überweisen"-Addon?
Welche anderen Addons nutzt du?
Ein paar mehr Daten brauchen wir schon, weil ich denke mal der "Bug" liegt eher in einem Addon und nciht im Basisscript.

ja, ein Intern-Überweisen Addon ist drin, dazu noch AP-Rang, Klickrang, Sparbuch & Shredder Addon, Automailer, GameRefback usw. usw. Wie gesagt, ich bin der Co-Admin der Seite und die Betreiberin ist aufgrund eines Wohnortwechsels nicht da. (allerdings per Anruf auf Handy bereits informiert)

Zement, mal so gefragt, wieso glaubst du, dass das Basisscript nicht bugbehaftet sein kann? Selbst in Scripten wie das Woltlab BurningBoard oder phpbb finden sich noch Sicherheitslecks.

denn bug hab ich elider auch bisher noch keine losung ich hab einfach die glaube transfer.php umgennant und verlinkt die meisten sind zu doof das umzuandern xD

Tauchen dieBuchungen in einer Buchungsliste auf? Wenn ja was steht da / welche Datei macht die Einträge? etc.

Gruß
Gremli

Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php

Original von Aloaman
Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php
Dann leigt der Fehler wohl in dieser Dtei bzw diesem Addon.
Woher hast du das? kannst / drafst du den Code veröffenltichen?

Gute Frage wo das addon herkommt. Wie gesagt ich bin lediglich der Co-Admin bei Losebombe

Wer von den erfahrenen Proggern könnte sich denn mal die Transfer.php anschauen?

ich könnte sie mir anschauen, schreib mich einfach mal an...

DITO
mir auch mal per PN schicken...

Also die relevanten Zeilen, kann man eigentlich nicht umgehen. Man muss schon im Absenderaccount eingeloggt sein, um da was transferieren zu können. ;)

Gruß
Gremlin

ok, danke erstmal fürs schauen. Werd dann mal weiter nach der Ursache forschen.

welcher User Klamm ID hat denn die ganzen Lose bekommen, sicherlich könnte man Ihn mal anschreiben.

Leider kann ich jetzt auch nicht sagen wie das genau zustande kommt, da mir der Quelltext von dem Addon nicht zur Verfügung steht. Jedoch habe ich davon gehört, leider erst heute das es möglich sein soll bei einigen Addons durch das einbinden in Kampagnen im IFrame einen Transfer auszulösen.

Jetzt ist natürlich die Frage ob bei einem Transfer ein Passwort angegeben werden muss oder nicht, wenn ja dann muss es der User selber gewesen sein, wenn nicht ist da etwas am argen.

Es kann auch vorkommen das einzelne Addons sauber laufen, doch wenn man dann andere mit drin hat das da dann ein Fehler (Bug) auftaucht.

Wenn man mir mal den QT gibt kann ich mal was testen...

@Nebulus,
hab dir mal die zip im Anhang geschickt, obwohl ich nicht denke das es bei dem Addon geht, am Anfang wird geprüft ob man eingeloggt ist, und weitere Sicherheitsabfragen sind auch drin ?(

Original von Murdoch
welcher User Klamm ID hat denn die ganzen Lose bekommen, sicherlich könnte man Ihn mal anschreiben.

Moin Murdoch,

der User der die Lose einsackte und sich auszahlte ist bereits bei den Klamm Admins gemeldet und von Mone direkt gesperrt worden. Von daher ist zumindestens von diesem User nichts mehr zu befürchten.

Original von Nebulus
Leider kann ich jetzt auch nicht sagen wie das genau zustande kommt, da mir der Quelltext von dem Addon nicht zur Verfügung steht. Jedoch habe ich davon gehört, leider erst heute das es möglich sein soll bei einigen Addons durch das einbinden in Kampagnen im IFrame einen Transfer auszulösen.

Na klasse, ich hoffe, dass man dies mal beheben kann. 8o



Jetzt ist natürlich die Frage ob bei einem Transfer ein Passwort angegeben werden muss oder nicht, wenn ja dann muss es der User selber gewesen sein, wenn nicht ist da etwas am argen.


Beim Transfer zwischen den Usern wird kein Passwort benötigt... :(



Es kann auch vorkommen das einzelne Addons sauber laufen, doch wenn man dann andere mit drin hat das da dann ein Fehler (Bug) auftaucht.

Wenn man mir mal den QT gibt kann ich mal was testen...

Hast du denn schon was testen können? QT hat Gremlin dir ja rübergeschickt

Quelltext habe ich keinen bis jetzt bekommen, doch wenn ich den mal erhalte dann auch ich da auch gerne mal rein. Jedoch hat das VMS keine überweiung intern drin, also ist es ein fehler im Addon nicht nicht vom VMS!

Quelltext habe ich keinen bis jetzt bekommen

Hö? Ich hab dir das doch per PN geschickt 8o

Der BUG kam bei mir auch vor.
User haben einfach eine File erstellt und einen Banner unter Werbung buchen eingebucht.
Dieser Banner verlinkte dann auf diese File.
Durch den Klick auf diesem Banner überweist man automatisch an den in der File angegebenen Account.

Lösung:

Evtl. sollte jmd. das so proggen, das man bei einer Überweisung einen Sicherheitscode angeben muss.

Denke das ist das einfachste.

Evtl. sollte jmd. das so proggen, das man bei einer Überweisung einen Sicherheitscode angeben muss.

Hier mal paar Schnippsel die nützlich sind, vllt. kann es ja einer schnell fertig machen, weil ich noch anderweitig beschäftigt bin:



<?
/* Captchacode By Gremlin */

header("Content-type: image/png");
$pin = rand(100,999);
session_start();
$_SESSION['captcha'] = $pin;
$image = imagecreatetruecolor(90,40);
$color = ImageColorAllocate($image, 255, 255, 255);
$color1 = ImageColorAllocate ($image, 000, 000, 255);
$color2 = ImageColorAllocate($image, 000, 255, 000);
$color3 = ImageColorAllocate ($image, 255, 000, 000);
$color4 = ImageColorAllocate ($image, 255, 255, 000);
imageline($image, 0, 0, 20, 25, $color1);
imageline($image, 0, 0, 75, 15, $color2);
imageline($image, 65, 0, 0, 70, $color3);
imagestring ($image, 5, 25, 10, $pin, $color);
imageline($image, 10, 0, 500, 220, $color4);
imagepng($image);
?>


Das dann speichern als captcha.php und einbinden mit <img src="captcha.php"> dann noch an geeigneter Stelle ein Formularfeld einbauen


<input type="text" name="captcha_user">

Und vor dem ausführen der Überweisung prüfen:


<?
if ($_POST['captcha_user'] == $_SESSION['captcha']{

FÜHRE DIE ÜBERWEISUNG AUS

}else{
echo 'Sicherheitscode falsch eingegeben!';
}
?>

Ich hoffe es kann einer fertig machen :)

Gruß
Gremlin

Cool, das wäre echt klasse wenn das jmd. fertig bastelt. :D

Könnte mir bitte ejmand den Quellcode der transfer.php an zahnahlskaries[--at--]web.de schicken, werde gerne mal draufschauen und eine Lösung bringen, die ohne das PW funktioniert.

@zement

Hab dir die transfer.php per Mail geschickt

Original von Aloaman
@zement

Hab dir die transfer.php per Mail geschickt

Ok, also die Daten werden via Post übergeben, also kommt man mit einem 0815 Script nciht weiter, da muß man sich schon mal richitg dransetzen um das zu knacken.

Naja Zement ;) hab gegooglet, und bin auf eine Seite gestoßen, wo eine funktion erstellt wurde, mit der man ganz leicht einen POST Request simulieren kann ;) Deshalb wäre die Möglichkeit mit dem Captchacode die einfachste ;)

jo habe das Problem heute Nacht auch gehabt, also habe ich das Überweisungs Addon erstmal runtergenommen. Sollten alle machen die das Addon drinne haben