Sicherheitsleck im VMS?

Hallo zusammen,

ich bin derzeit als Co-Admin bei einigen Seiten tätig. Auf eine dieser Seiten gab es heute Vorfälle, die bis dato noch nicht so vorgekommen sind. Es wurden Seitenintern von einem Account Lose zu anderen Accounts transferiert, ohne dass der Inhaber der rechtmässigen Lose diese transfers vorgenommen hat. Der Inhaber des "geplünderten" Accounts versicherte mir, dass sein Passwort aus mehreren Buchstaben und Zahlenkombinationen besteht. Die Empfänger der Lose sind erst seit heute auf der Seite angemeldet und definitiv keine Refs des geplünderten Users. Meine Frage geht nun soweit, dass ich gerne wüsste, ob es irgendwie möglich ist, durch ein eventuelles Leck im Script, interne Losetransfers vorzunehmen?

Danke schonmal für eure Hilfe

Aloaman

P.S.: Die Seite befindet sich natürlich im Wartungsmodus, um weitere ungewollte Losetransfers zu vermeiden!

Hast du ein "intern Überweisen"-Addon?
Welche anderen Addons nutzt du?
Ein paar mehr Daten brauchen wir schon, weil ich denke mal der "Bug" liegt eher in einem Addon und nciht im Basisscript.

ja, ein Intern-Überweisen Addon ist drin, dazu noch AP-Rang, Klickrang, Sparbuch & Shredder Addon, Automailer, GameRefback usw. usw. Wie gesagt, ich bin der Co-Admin der Seite und die Betreiberin ist aufgrund eines Wohnortwechsels nicht da. (allerdings per Anruf auf Handy bereits informiert)

Zement, mal so gefragt, wieso glaubst du, dass das Basisscript nicht bugbehaftet sein kann? Selbst in Scripten wie das Woltlab BurningBoard oder phpbb finden sich noch Sicherheitslecks.

denn bug hab ich elider auch bisher noch keine losung ich hab einfach die glaube transfer.php umgennant und verlinkt die meisten sind zu doof das umzuandern xD

Tauchen dieBuchungen in einer Buchungsliste auf? Wenn ja was steht da / welche Datei macht die Einträge? etc.

Gruß
Gremli

Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php

Zitat:

---

Original von Aloaman
Die Buchungen tauchen in der Buchungsliste auf. die Einträge in der Buchungsliste stammen aus der Transfer.php

---

Dann leigt der Fehler wohl in dieser Dtei bzw diesem Addon.
Woher hast du das? kannst / drafst du den Code veröffenltichen?

Gute Frage wo das addon herkommt. Wie gesagt ich bin lediglich der Co-Admin bei Losebombe

Wer von den erfahrenen Proggern könnte sich denn mal die Transfer.php anschauen?

ich könnte sie mir anschauen, schreib mich einfach mal an...