Hallo,

luette und ich haben eben festgestellt, dass es möglich ist beim externen Nickpage-Addon ein Scriptbefehl einzufügen, mitdem die Cookies des jeweiliegen Nickpagebesuchers inkl. Passwort ausgelesen werden können. Leider kann ich nicht sagen, wer der Progger des Nickpage-Addons ist, da ich keinerlei Copyrighthinweis finden kann. Ich empfehle daher jeden User, der ein Nickpage-Addon eingebaut hat, Vorsicht walten zu lassen bzw. das Addon zu deaktivieren.

Aus Gründen der Sicherheit möchte ich den gefundenen Scriptbefehl nicht posten, damit sich keine Nachahmer finden lassen.

Gruß

Aloaman

Melde dich dann an Progger und Admins hier, so schwer kanns nicht sein :rolleyes:

Mani,

ich hab doch geschrieben, dass der Progger unbekannt ist, dumme Sprüche kannste dir sparen

Aloaman ? is es die Nickpage hier aus´n DL Bereich ???

wenn ja denn schreib ich ma den Progger davon an :)

LG Muecke : >

keine Ahnung muecke,

die NP ist schon seit längerem bei Losebombe, Lose-Inferno und Loseschafe eingebaut und ich glaube luette hat die damals gekauft

Keine Lizenzen wo vielleicht irgendwelche daten drin stehen ?

wenns nur vom Verkäufer is aber vielleicht bekommt man über den raus wer es geproggt hat :p

LG Muecke : >

Original von Muecke
Keine Lizenzen wo vielleicht irgendwelche daten drin stehen ?

wenns nur vom Verkäufer is aber vielleicht bekommt man über den raus wer es geproggt hat :p

LG Muecke : >

dafür muss ich erst mal cd´s welzen :P

Original von luette
dafür muss ich erst mal cd´s welzen :P

viel Spass beim welzen ~gg~

LG Muecke : >

Da es die gleiche vom design her ist wie die von mir gehe ich davon aus das es die von alex ist.

Wäre aber mal gut zu wissen wo da der fehler genau ist, dann kann man den auch mit sicherheit eine lösung finden.

mfg spps

Aus Gründen der Sicherheit möchte ich den gefundenen Scriptbefehl nicht posten, damit sich keine Nachahmer finden lassen.
Habt ihr schon einen Bugfix hinbekommen? Wenn nicht kannste dich bei mir melden, ich kann mir schon in etwa denken wie der Fehler ist ;) , auch wenn es sehr unwahrscheinlich ist das es funzt.

Gruß
Gremlin

Bitte den Quelltext und wie es gehen soll einmal per PM zu mir bitte, will mir das mal ansehen, thx

Hallo ich enschuldige mich für die Sache,
bitte die alten Dateien im Ordner "pn" mit diesen hier überschreiben.
http://platin-casino.de/bugfix.zip

Gruß

Hi,

hab grad Infos über die Vorgehensweise erhalten ;) garnicht so unklug. Und relativ einfach erledigt. Da kann man echt froh sein das die PW's auch im cookie nochmal verschlüsselt sind.

Ihr müsst nur bei euch darauf achten, das die User nicht die Möglichkeit haben, in ein Feld Javascript / HTML einzutragen, was dann auch noch irgendwo angezeigt wird.

Was aber IMHO wohl am sichersten ist ;) die Autologinfunktion auszubauen, und keine Cookies zu setzen.

Gruß
Gremlin

Original von alexx
Hallo ich enschuldige mich für die Sache,
bitte die alten Dateien im Ordner "pn" mit diesen hier überschreiben.
http://platin-casino.de/bugfix.zip

Gruß

Danke für die schnelle hilfe
:D

Welche Nickpage is das denn nun? Die ausm DL-Bereich???

Original von KiLLzOnE
Welche Nickpage is das denn nun? Die ausm DL-Bereich???

Nein die von alexx :evil:

Achtung
Die Nickpage von ufish im Downloadbereich (http://designerscripte.net/jgs_db.php?action=show&eintrags_id=102&sid=)
hat ebfalls die gleich Sicherheitslücke!


Behebung der Sicherheitslücke


Suche in der Datei nickpage.php nach dem hier:

$klickrally_status

füge das hier davor ein:


// Bugfix by alexx
if(isset($_GET['id']) && is_numeric($_GET['id'])){


suche dann nach dem hier:


<!--
<tr>
<td align="right"><b>: &nbsp;</b>
</td><td align="left">''</td>
</tr>
-->

füge darunter dass hier ein:


<?
// Bugfix by alexx
}else{
head("Fehler");
echo"User ist bei uns nicht angemeldet!";
foot();
}?>

Datei abspeichern und hochladen (alte Datei mit der neuen überschreiben).

ich will ja nich mäckern, aber:

$_GET['id'] = (int)$_GET['id'];

hätts auch getan *gg*

Original von SebbyPHM
ich will ja nich mäckern, aber:

$_GET['id'] = (int)$_GET['id'];

hätts auch getan *gg*


an welcher stelle gehört der rein?


Todeslady

am anfang der datei nach <?

Habe es eben von alexx erfahren. Sorry, auch meine ist mit diesem Fehler behaftet.

Aber danke @alexx, für die Anleitung zum Beheben des Fehlers. Dadurch dass sie im DL-Bereich ist, ist sie leider jetzt viel eingesetzt. Hoffe, dass viele den Beitrag hier lesen.

Da fällt mir doch grad was ein. Jeder der ein Script aus dem DL-Bereich runterläd, muss ne email hinterlassen. So könnte man alle erreichen!

Also nochmals sry, habe daran damals leider nicht gedacht.

MfG Uficsh