Moin,
grade gefunden: http://www.klamm.de/forum/showthread.php?p=1095261
Wenn einer das hat machen lassen würde ich mich über eine Info freuen ob wirklich eine solche Lücke vorhanden istggf. auch mit Screen oder so.
Gruß
Gremlin
Moin,
grade gefunden: http://www.klamm.de/forum/showthread.php?p=1095261
Wenn einer das hat machen lassen würde ich mich über eine Info freuen ob wirklich eine solche Lücke vorhanden ist
Gruß
Gremlin
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Wäre da auch sehr daran interessiert !
Habe im Klamm Thread auch schon geschrieben das ich eine Lösung bzw. eine Bugfix Anleitung haben möchte, weil der USer ja gesagt hat das er die kostenlos weitergibt !
Mal sehen was ich dort so gesendet bekomme...
cu, Swinxx
VMS-Sicherheitslücke
Bei der Sicherheitslücke handelt es sich um einen Fehler in der Nickpage-Datei, bei der ein Angreifer mittels SQL-Injektion eine beliebige SELECT-Anfrage in der Datenbank ausführen kann. Dies ist möglich, da der GET-Parameter id ohne Cast zu einem Integer oder andere Prüfung übernommen wird.
Du musst die Datei content/nickpage.php prüfen; dort sollte sich im oberen Teil diese oder eine ähnliche Zeile befinden:
$id = $_GET['id'];
Um den Fehler zu beheben, musst du einen Cast einfügen:
$id = (int)$_GET['id'];
Das sollte diese Lücke schließen! Herzlichen Glückwunsch!
Ein altbekanntes Problem was bereits hier angesprochen wurde:
vms über SQL-Injections angreifbar!!!! An alle Webmaster!!!
Gruß
Gremlin
Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!
Na nur gut das ich keine Nickpages eingebaut habe...
Nicknamen sind ja auch ausreichend erstmal...
Hab ich mal wieder Glück gehabt...
MfG
//Edit by Swinxx: da das Thema ja jetzt geklärt ist und auch schonmal damals in einem Thread besprochen wurde mach ich hier mal CLOSE !
Berechtigungen
