PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VMS Forum



cesar
28.11.2010, 20:57
Im VMS Forum (das Addon) sind SQL Injections möglich.


Bugfix nicht vorhanden.


Ich weiss leider nicht genau wie einer mit ner sql injection da reingekommen ist.


mfg

jpwfour
29.11.2010, 14:03
Neue Version im Downloadbereich:
Forum für das VMS1.2.x (http://www.designerscripte.net/downloads.php?do=file&id=224)

Hardy
29.11.2010, 14:38
Ach mensch wer macht den sowas?:knueppel:

Sam2004
29.11.2010, 15:01
Ist das mit ein Grund, warum dich Pauli1990 die Tage angeschrieben hat?
Wahrscheinlich auch der Grund, warum ich auf eine PN keine Antwort erhalte.

Müssen alle Dateien überspielt werden?

LG

Hardy
29.11.2010, 15:05
Zumindest die Content Datein MÜSSEN überspielt werden und Nein wegen den Forum hat er mich nicht angeschrieben, sonst hätte ich es bereits gefixt und gepostet.

cesar
29.11.2010, 22:36
könnte man auch nur den fix bitte posten, da meine dateien geändert sind, und ich nicht wieder nur den standard drin haben möchte.

Also bitte mal jemand nur den fix posten, bzw. was gemacht werden muss.


mfg

Pauli1990
29.11.2010, 23:09
Leider gibt es noch eine Menge weitere Addons die einen Sqli sowie XSS ermöglichen, leider konnte ich die Hersteller des Script bisher nicht finden. :rant::rant:

jpwfour
30.11.2010, 12:24
Leider gibt es noch eine Menge weitere Addons die einen Sqli sowie XSS ermöglichen, leider konnte ich die Hersteller des Script bisher nicht finden. :rant::rant:

Das is klar, da die Qualität von Addons im Klammlosebereich überwiegend eher grottenschlecht ist :wink:

Sollte es aber Addons sein, die sich hier im Downloadbereich finden, fixen wir das soweit als Möglich oder nehmen die raus.

Wenn du alle Ersteller von Addons anschreiben willst, dass sie ihre Fehler beseitigen, na denn viel Spass :biggrin1:

Gerade die mit den Addons die Sicherheitslücken haben, sind meist nicht (mehr) erreichbar, und/oder schieben alle Schuld von sich, die Shopbetreiber die sowas anbieten sind zum Großteil auch nicht kooperativ.

Wird zwar regelmäßig versucht, da die Leute (seien es nun die Programmierer, Shopbetreiber oder Webbis) wachzurütteln, aber das als Anmerkung um dir die Enttäuschung dann leichter zu machen :yes:

@All zwecks Update auf neue Version:

Die Funktionen aus der Datei functionen.txt (Anleitungsschritt 2) sollten neu eingetragen werden und
die 4 Dateien im Ordner content/forum sollten wenn möglich ersetzt werden.

Wer da schon Anpassungen vorgenommen hat, kann ja seine Datei mit der neuen Vergleichen, dazu als Anhaltspunkt, folgende Zeilen wurden eingesetzt/geändert in der neuen Version:
index.php: 6
makepost.php: 58, 91
showforum.php: 9, 10
showtopic.php: 14, 15, 16

Pauli1990
30.11.2010, 19:36
jpwfour ich würde das Gefixxte Addon gerne teste, wenn du es mir erlaubst.

jpwfour
30.11.2010, 19:56
jpwfour ich würde das Gefixxte Addon gerne teste, wenn du es mir erlaubst.

Kein Ding, da musst du mich nicht fragen, sofern du es dir selber installierst (lokal/Testserver) darfst du es so ausführlich testen, wie du willst :wink:

Solltest du es auf Seiten anderer Leute "testen" wollen, werde ich dir natürlich dazu kein "OK" geben, denke versteht sich von selbst (und ich hab es nicht online damit du es da testen könntest).

Is' eh generell kritisch, klar findet man solche Lücken am besten wenn ein Skript im Einsatz ist, aber da auch schon das Ausprobieren auf einer Seite u.U. strafbar sein kann, sollte man das eher nicht machen, ohne den Betreiber vorher zu fragen, schreibt man ihn nämlich nachher an und sagt: "Hey du übrigens kann ich deine EF Daten einsehen" könnte er einen ja schon direkt anzeigen (mit Geständnis dazu wie praktisch :biggrin1:).

Pauli1990
30.11.2010, 23:29
Naja :D Soweit geh ich gar nicht.

Ich sehe diese Lücken (Erfahrungswerte), man ändert im Grunde nur die "Url" oben im Browser um.

Dies ist nicht Strafbar, man erkennt ja wie sich das script verhält nach dieser Eingabe.
Und so erkenne ich, wo die Lücken vorhanden sind, das neue Forum ist von Sqli befreit. Auf XSS teste ich es bei gelegenheit.

marcaust
01.12.2010, 03:11
Das ist ein Irrglaube. Das verändern der URL stellt genauso eine Manipulation dar wie das Verändern des Formulars selber oder durch entsprechende Eingaben in den Formularfeldern.
Ziel ist es das Script dazu zu bewegen etwas anderes zu tun als das wofür es vorgesehen ist. Die Übertragungsmethode spielt dabei keine Rolle.

Kurz: Das Ausprobieren ohne Erlaubnis, egal wie, ist in jedem Fall schon eine Strafbare Handlung.

Pauli1990
01.12.2010, 07:32
Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten :D

Den link darf man verändern wie man will :D Ich gelange ja so nicht auf den Server oder so :D

Ich sehe nur wie das Script sich bewegt :D

XSS Test mache ich heute abend.

jpwfour
01.12.2010, 12:05
Der Webseiten betreiber ist verpflichtet seine Seite sauber zu halten :D

Den link darf man verändern wie man will :D Ich gelange ja so nicht auf den Server oder so ...

Jo, sicher hat der Betreiber einer Seite auch die Pflicht, das Skript abzusichern, bzw. trägt die Verantwortung zum Großteil selbst.

Trotzdem darfst du nicht frei die URL manipulieren, besonders wenn du weist, was dabei rauskommt (also mit kriminellem Hintergedanken), meiner Meinung nach, bin ja auch kein Jurist :wink:

Meist passiert ja nicht viel, aber wenn du durch die Manipulation in Kauf nimmst, persönliche Daten anderer Nutzer der Seite einzusehen oder zu manipulieren, machst du dich schon mit großer Wahrscheinlichkeit strafbar.

Naja is auch jedem seine eigene Sache, ich persönlich würde sowas bei anderen Seiten jedenfalls nicht machen, ohne vorher zu fragen.

marcaust
01.12.2010, 12:39
Das der Webseiten Betreiber sein Seite sauber halten muss erlaubt dir noch lange nicht die übergebenen Daten zu Manipulieren.

Es spricht wohl nichts dagegen wenn du z.Bsp.: aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page=20
machst um direkt auf eine bestimmt Unterseite zu gelangen.

Machst du aber aus:
http://designerscripte.net/showthread.php?t=13232&page=2
ein
http://designerscripte.net/showthread.php?t=13232&page='include...' oder
http://designerscripte.net/showthread.php?t=13232&page=ichwilldieDatenbankauslesen
etc.
stellt das in jedem Fall ein Angriff auf die Seite dar. Vollkommen egal ob die das abfängt, dir die komplette DB anzeigt oder du mittels so eingebundenem Script gar Root Zugriff auf dem Server erlangst (und ja, bei schlecht konfigurierten Servern / Fehlerhaften Scripten geht das!).

Strafrechtlich kannst du in jedem Fall dafür belangt werden wenn du das nur versuchst. Selbst wenn du keinen Schaden dabei anrichtest. Auch spielt es keine Rolle welche Übergabe Methode du verwendest. Dem Betreiber der Seite passiert dabei rechtlich rein gar nichts, völlig egal wie unsicher das verwendete Script ist.

Wenn du mir nicht glaubst, mach dich bei nem Anwalt darüber mal richtig schlau. Ich hab das Thema durch seitdem mir mal einer über ein gekauftes Script nen Virus per $_Get (also URL Übergabe) auf den Server geladen hatte. Ist zwar ne Weile her aber sowas vergisst man nicht so schnell.

Pauli1990
01.12.2010, 19:45
Und falls ich ein " mache :D Heißt das was? Ich lese damit nix aus ich seh nur Addon von Drecks Klamm programmieren verfuscht oder Addon i.o

Kein Angriff in die Db.!!

Parl
01.12.2010, 19:54
Die Frage ist, warum du das " machst. Bei normaler Nutzung einer Seite ist das ja nicht notwendig die URL in irgendeiner Weise zu verändern.

Wenn ich in meinen Logs dann sehe da hat einer meine index.pphp mit parameter blubb=bla aufgerufen, was laut Script ja garnicht sein kann, wär ich auch erst mal skeptisch. Auch wenn die Absicht des Users vielleicht garnicht böse war.

Ich klaue ja auch nix beim Mediamarkt und sag dann ich wollt mal den Diebstahlschutz testen. :D

Pauli1990
01.12.2010, 20:10
Wieso sprichst du von Klauen?

Das eine hat nix mit den anderen zu tun.

So lang ich nirgends zugreife ist alles ok :D z.b

http://www.designerscripte.net/newreply.php?do=newreply&noquote=1&p=93988

Ich gebe http://www.designerscripte.net/newreply.php?do=newreply&noquote=1&p=93988" ein :D Ich verändere nix am Script, Greife nirgends ein außer auf die Normale Webseite.

Es gibt aber sachen die sich verändern, die darf ich nicht Preis geben sagen wir z.b ( Design drückt stück nach unten) :D Hat nix zu bedeuten, damit greif ich die Webseite nicht an, bzw starte kein Angriff.

Ein Angriff auf die Webseite, wäre das Nette Programm zu öffnen und das Script diese gewisse Variablen zuwerfen die es ermöglich in die Db zu schauen oder sonstiges. Oder dies Manuell zu tun.

Mit den Gänsefüßen startet man kein Angriff das ist Fakt. Sonst würde jeder Zweite von uns Hacken können die eine Hälte sind ja nur Spezialisten in Pc an und aus schalten. Da dies zum Glück nicht so ist ist dies keine Bedrohung. :wink:

Sebmaster
01.12.2010, 20:14
Wenn du ein Pech hast und du brichst mit " sensible Querys ab, dann will ich nicht in deiner Haut stecken.

Es gibt durcchaus Operationen, wenn die fehlschlagen und du bist z.B. schuld, dass das Refsystem zerschossen wird... viel Spaß^^

Pauli1990
01.12.2010, 21:01
Wenn man durch ein " wie du sagst Querys abfängt/abbricht, dann hat die Seite ganz andere Probleme :):thumb:

marcaust
01.12.2010, 21:01
Und falls ich ein " mache :D Heißt das was? Ich lese damit nix aus ich seh nur Addon von Drecks Klamm programmieren verfuscht oder Addon i.o

Kein Angriff in die Db.!!

Du provozierst damit eine vom Programmierer nicht beabsichtigte Reaktion des Scripts (Abbruch von Querys, etc.) und wie gehen Angreifer vor?
Richtig, die versuchen ein fehl Verhalten des Scripts zu Provozieren also genau das selbe wie du mit dem z.Bsp.: " machst. Das ist als Teil eines Angriffs zu werten (Ausspähen von möglichen Lücken)
Nur mit dem " kannst du (wenn display_errors=on gesetzt ist) schon etwas über die Verzeichnisstruktur, interne Dateinamen sowie Zeilennummer erfahren wo der Fehler aufgetreten ist. Wichtige Informationen für einen Angriff.
Das selbe kann man im schlechtesten Fall auch erreichen wenn man nur einen einzelnen Buchstaben an einen Parameter übergibt wo nur Zahlen erwartet werden. Je nach Funktion könnte das z.Bsp.: zu einem: division by zero in (hier der Pfad) Line ... führen.

Das kann (sofern du keine Erlaubnis dafür hast) durchaus als Angriff gewertet und entsprechend verfolgt werden.

Also tu dir selber den Gefallen: Wenn du Lust verspürst irgendeine Seite zu prüfen (egal wie Umfangreich) Frage Grundsätzlich IMMER! nach ob du das darfst (und halte dich bei einem nein auch daran).

Sebmaster
01.12.2010, 21:03
Wenn man durch ein " wie du sagst Querys abfängt/abbricht, dann hat die Seite ganz andere Probleme :):thumb:

Tja, du aber auch sofern es der Betreiber darauf anlegt.

Pauli1990
01.12.2010, 21:07
Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.

Kein Angriff!

marcaust
01.12.2010, 21:10
Hinterher bescheid geben ist zu spät, da ist der Angriff (von dir als testen Bezeichnet) schon gelaufen...

Pauli1990
01.12.2010, 21:17
Testen = versuchen zugriff auf Db/Webspace erlangen

Ich schaue nur ob vill möglich ist kann mich ja irren weitere schritte gehe ich net erst nachdem der Webbi sagt ok teste:rant:

marcaust
01.12.2010, 21:28
Dazu reicht ein einfacher Aufruf der Seite wie es vorgesehen ist, eine Änderung der Parameter ist dafür nicht nötig.

Pauli1990
01.12.2010, 21:29
Ich arbeite mit anderen Techniken :)

Nein aufruf reicht nicht, da du nicht siehst wie die Seite reagiert, glaub mit mein Lieber mir musst du davon nix erzählen :D

marcaust
01.12.2010, 21:48
Um zu testen ob DB / Webspace erreichbar ist reicht ein simpler Aufruf.

Übergibst du an die Seite ohne VORHER eine Genehmigung einzuholen irgendwelche Parameter die nicht vorgesehen sind begehst du eine Straftat die verfolgt / geahndet werden kann.
Mit deiner Mitteilung hinterher machst du es einer Strafverfolgung nur einfacher, änderst aber nichts mehr an den Straftatbestand.

Da brauchst du nicht weiter versuchen dich mit "anderen Techniken", etc. raus zu reden. Das ist so und da du da scheinbar nicht glauben willst nochmal mein Rat dazu:

Lass dich vernünftig rechtlich in dem Punkt beraten. Du wirst da nichts anderes zu hören bekommen.

Hardy
01.12.2010, 22:04
Wie ich vorgehe => Ich teste => Gebe den Webmaster bescheid.

Kein Angriff!

und nebenbei lose erpressen?
http://designerscripte.net/showthread.php?t=13234

Zitat aus einer PN die ich erhalten habe, absender anonymisiert:


Moin,

vor ein paar Tagen hat dich doch mal ein User informiert, dass es angeblich eine Sicherheitslücke bei dir gab.
Jener User droht mir damit, mögliche lücken auszunutzen.
Mir wichtig zu erfahren, welche das waren, damit ich Maßnahmen treffen kann.

Vielen Dank.

LGTut mir leid aber was du hier abziehst ist echt unter aller kanone!

Ich bin ja besagter Progger des Forums und möchte mich hiermit auch bei jpwfour für das schnelle fixen bedanken, und ja, mir ist bei diesen Addon ein fehler unterlaufen, aber schau mal wieviel zeilen code das sind, dort ein einfaches int() zu vergessen kann durchaus mal passieren. Sowas passiert auch den besten Progger denn so doof das klingt eine gewisse Fehlerquote beim Programmieren ist Menschlich, ja selbst ebay hat schon Sicherheitslücken gehabt und einen 100 % Schutz gibt es eh NIE, denn wer eine Lücke finden will und es auch drauf hat (mit dem hacken) findet auch eine.
Aber ich möchte zu meinen Fehlern stehen und ich hoffe Sie werden mir verziehen.

Du hingegen.....
......tut mir leid da fällt mir nix ein.
Für mich bist du einfach nur ne arme Wurst.
Was ist mir dir? Hast du von deinen großen Bruder gezeigt bekommen wie man nen SQL Injection macht und willst jetzt hier damit Angst und Schrecken verbreiten?

Wenn du tatsächlich nur testen und Webmaster bescheid sagen willst dann will ich ja noch nichtmal etwas dagegen sagen aber User zu erpressen die vielleicht nicht soviel Ahnung von SQL Injection und der vorbeugung haben ist einfach nur scharmlos und in meinen Augen gehörst du dafür hier gesperrt inklusive der Entziehung des Nutzungsrechtes für das VMS!

Pauli1990
01.12.2010, 22:38
1. Link => Service, muss keiner beanspruchen, dann folgt kein Check erpressung ist das nicht.

2. Der User wird nicht von mir sprechen, da ich sowas nich tue!

hankfromhelvete
02.12.2010, 01:07
So, dann melde ich mich auch mal zu der Sache.

Am 29.11.2010 01:28 Uhr, hab ich eine PN von Pauli1990 bekommen mit dem Hinweis, dass es wohl eine Sicherheitslücke auf einer meiner Seiten gibt. Worum es sich genau handelt, stand nicht drin.

Ich fragte ihn dann worum es genau geht und erhielt darauf eine Antwort, in der er schrieb, dass er das nach dem "Scan" sehen würde. Das machte mich dann schon mal sehr skeptisch und ich dachte er wollte mich nur auf den Bug im Forum hinweisen (den ich am selben Tag behoben hatte).

Jetzt hab ich eben mal in meine Logs gesehen und erschreckend festgestellt, dass ich am 28.11.2010 zwischen 22:06 Uhr und 22:14 Uhr, eine ganze Menge Aufrufe aufs Forum von einem Gast hatte (der User kam hier aus dem Forum). Das selbe nochmal am 29.11.2010 zwischen 00:23 Uhr und 00:29 Uhr. Teilweise sogar 5 Aufrufe innerhalb einer Sekunde, was darauf schließen lässt, dass evtl. mit einer Software gearbeitet wurde :suspicious:

Ich möchte nicht behaupten, dass es Pauli1990 war, da ich das ohne rechtliche Schritte nicht nachweisen kann.

Ob ich rechtliche Schritte einleite muss ich mal sehen. Ich weiß noch nicht genau was dieser User gemacht hat. Werde mal die kompletten Logs durchgehen und dann mal schauen was da gemacht wurde.

Was jetzt natürlich interessant wäre, wenn ihr mal in euren Logs schaut, ob ihr auch in dem Zeitraum eine Vielzahl von Aufrufen aufs Forum hattet.

Pauli1990
02.12.2010, 19:21
So, dann melde ich mich auch mal zu der Sache.

Am 29.11.2010 01:28 Uhr, hab ich eine PN von Pauli1990 bekommen mit dem Hinweis, dass es wohl eine Sicherheitslücke auf einer meiner Seiten gibt. Worum es sich genau handelt, stand nicht drin.

Ich fragte ihn dann worum es genau geht und erhielt darauf eine Antwort, in der er schrieb, dass er das nach dem "Scan" sehen würde. Das machte mich dann schon mal sehr skeptisch und ich dachte er wollte mich nur auf den Bug im Forum hinweisen (den ich am selben Tag behoben hatte).

Jetzt hab ich eben mal in meine Logs gesehen und erschreckend festgestellt, dass ich am 28.11.2010 zwischen 22:06 Uhr und 22:14 Uhr, eine ganze Menge Aufrufe aufs Forum von einem Gast hatte (der User kam hier aus dem Forum). Das selbe nochmal am 29.11.2010 zwischen 00:23 Uhr und 00:29 Uhr. Teilweise sogar 5 Aufrufe innerhalb einer Sekunde, was darauf schließen lässt, dass evtl. mit einer Software gearbeitet wurde :suspicious:

Ich möchte nicht behaupten, dass es Pauli1990 war, da ich das ohne rechtliche Schritte nicht nachweisen kann.

Ob ich rechtliche Schritte einleite muss ich mal sehen. Ich weiß noch nicht genau was dieser User gemacht hat. Werde mal die kompletten Logs durchgehen und dann mal schauen was da gemacht wurde.

Was jetzt natürlich interessant wäre, wenn ihr mal in euren Logs schaut, ob ihr auch in dem Zeitraum eine Vielzahl von Aufrufen aufs Forum hattet.

Nein, mein Lieber, damit habe ich nix zu tun. Um diese Uhrzeigt bin ich im Bett :D :thumb: