PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ACHTUNG beim Nickpage Addon



Aloaman
23.01.2007, 17:39
Hallo,

luette und ich haben eben festgestellt, dass es möglich ist beim externen Nickpage-Addon ein Scriptbefehl einzufügen, mitdem die Cookies des jeweiliegen Nickpagebesuchers inkl. Passwort ausgelesen werden können. Leider kann ich nicht sagen, wer der Progger des Nickpage-Addons ist, da ich keinerlei Copyrighthinweis finden kann. Ich empfehle daher jeden User, der ein Nickpage-Addon eingebaut hat, Vorsicht walten zu lassen bzw. das Addon zu deaktivieren.

Aus Gründen der Sicherheit möchte ich den gefundenen Scriptbefehl nicht posten, damit sich keine Nachahmer finden lassen.

Gruß

Aloaman

maniwelt
23.01.2007, 17:56
Melde dich dann an Progger und Admins hier, so schwer kanns nicht sein :rolleyes:

Aloaman
23.01.2007, 18:04
Mani,

ich hab doch geschrieben, dass der Progger unbekannt ist, dumme Sprüche kannste dir sparen

Muecke
23.01.2007, 18:15
Aloaman ? is es die Nickpage hier aus´n DL Bereich ???

wenn ja denn schreib ich ma den Progger davon an :)

LG Muecke : >

Aloaman
23.01.2007, 18:38
keine Ahnung muecke,

die NP ist schon seit längerem bei Losebombe, Lose-Inferno und Loseschafe eingebaut und ich glaube luette hat die damals gekauft

Muecke
23.01.2007, 18:48
Keine Lizenzen wo vielleicht irgendwelche daten drin stehen ?

wenns nur vom Verkäufer is aber vielleicht bekommt man über den raus wer es geproggt hat :p

LG Muecke : >

luette
23.01.2007, 18:51
Original von Muecke
Keine Lizenzen wo vielleicht irgendwelche daten drin stehen ?

wenns nur vom Verkäufer is aber vielleicht bekommt man über den raus wer es geproggt hat :p

LG Muecke : >

dafür muss ich erst mal cd´s welzen :P

Muecke
23.01.2007, 19:49
Original von luette
dafür muss ich erst mal cd´s welzen :P

viel Spass beim welzen ~gg~

LG Muecke : >

spps
23.01.2007, 20:12
Da es die gleiche vom design her ist wie die von mir gehe ich davon aus das es die von alex ist.

Wäre aber mal gut zu wissen wo da der fehler genau ist, dann kann man den auch mit sicherheit eine lösung finden.

mfg spps

Gremlin
23.01.2007, 20:16
Aus Gründen der Sicherheit möchte ich den gefundenen Scriptbefehl nicht posten, damit sich keine Nachahmer finden lassen.
Habt ihr schon einen Bugfix hinbekommen? Wenn nicht kannste dich bei mir melden, ich kann mir schon in etwa denken wie der Fehler ist ;) , auch wenn es sehr unwahrscheinlich ist das es funzt.

Gruß
Gremlin

Nebulus
23.01.2007, 20:35
Bitte den Quelltext und wie es gehen soll einmal per PM zu mir bitte, will mir das mal ansehen, thx

alexx
23.01.2007, 21:25
Hallo ich enschuldige mich für die Sache,
bitte die alten Dateien im Ordner "pn" mit diesen hier überschreiben.
http://platin-casino.de/bugfix.zip

Gruß

Gremlin
23.01.2007, 22:00
Hi,

hab grad Infos über die Vorgehensweise erhalten ;) garnicht so unklug. Und relativ einfach erledigt. Da kann man echt froh sein das die PW's auch im cookie nochmal verschlüsselt sind.

Ihr müsst nur bei euch darauf achten, das die User nicht die Möglichkeit haben, in ein Feld Javascript / HTML einzutragen, was dann auch noch irgendwo angezeigt wird.

Was aber IMHO wohl am sichersten ist ;) die Autologinfunktion auszubauen, und keine Cookies zu setzen.

Gruß
Gremlin

spps
24.01.2007, 00:00
Original von alexx
Hallo ich enschuldige mich für die Sache,
bitte die alten Dateien im Ordner "pn" mit diesen hier überschreiben.
http://platin-casino.de/bugfix.zip

Gruß

Danke für die schnelle hilfe
:D

KiLLzOnE
24.01.2007, 15:08
Welche Nickpage is das denn nun? Die ausm DL-Bereich???

spps
24.01.2007, 15:10
Original von KiLLzOnE
Welche Nickpage is das denn nun? Die ausm DL-Bereich???

Nein die von alexx :evil:

alexx
27.01.2007, 15:16
Achtung
Die Nickpage von ufish im Downloadbereich (http://designerscripte.net/jgs_db.php?action=show&eintrags_id=102&sid=)
hat ebfalls die gleich Sicherheitslücke!


Behebung der Sicherheitslücke


Suche in der Datei nickpage.php nach dem hier:

$klickrally_status

füge das hier davor ein:


// Bugfix by alexx
if(isset($_GET['id']) && is_numeric($_GET['id'])){


suche dann nach dem hier:


<!--
<tr>
<td align="right"><b>: &nbsp;</b>
</td><td align="left">''</td>
</tr>
-->

füge darunter dass hier ein:


<?
// Bugfix by alexx
}else{
head("Fehler");
echo"User ist bei uns nicht angemeldet!";
foot();
}?>

Datei abspeichern und hochladen (alte Datei mit der neuen überschreiben).

SebbyPHM
27.01.2007, 15:58
ich will ja nich mäckern, aber:

$_GET['id'] = (int)$_GET['id'];

hätts auch getan *gg*

Todeslady
27.01.2007, 16:42
Original von SebbyPHM
ich will ja nich mäckern, aber:

$_GET['id'] = (int)$_GET['id'];

hätts auch getan *gg*


an welcher stelle gehört der rein?


Todeslady

Gremlin
27.01.2007, 16:45
am anfang der datei nach <?

Ufisch
29.01.2007, 17:58
Habe es eben von alexx erfahren. Sorry, auch meine ist mit diesem Fehler behaftet.

Aber danke @alexx, für die Anleitung zum Beheben des Fehlers. Dadurch dass sie im DL-Bereich ist, ist sie leider jetzt viel eingesetzt. Hoffe, dass viele den Beitrag hier lesen.

Da fällt mir doch grad was ein. Jeder der ein Script aus dem DL-Bereich runterläd, muss ne email hinterlassen. So könnte man alle erreichen!

Also nochmals sry, habe daran damals leider nicht gedacht.

MfG Uficsh