Ergebnis 1 bis 5 von 5

Thema: Sicherheitslücke im VMS -- Thread auf Klamm

  1. #1
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206

    Sicherheitslücke im VMS -- Thread auf Klamm

    Moin,

    grade gefunden: http://www.klamm.de/forum/showthread.php?p=1095261

    Wenn einer das hat machen lassen würde ich mich über eine Info freuen ob wirklich eine solche Lücke vorhanden ist ggf. auch mit Screen oder so.

    Gruß
    Gremlin
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  2. #2
    Erfahrener Benutzer Avatar von swinxx
    Registriert seit
    16.09.2006
    Beiträge
    1.636
    Wäre da auch sehr daran interessiert !

    Habe im Klamm Thread auch schon geschrieben das ich eine Lösung bzw. eine Bugfix Anleitung haben möchte, weil der USer ja gesagt hat das er die kostenlos weitergibt !

    Mal sehen was ich dort so gesendet bekomme...

    cu, Swinxx

  3. #3
    Pantau
    Gast
    VMS-Sicherheitslücke
    Bei der Sicherheitslücke handelt es sich um einen Fehler in der Nickpage-Datei, bei der ein Angreifer mittels SQL-Injektion eine beliebige SELECT-Anfrage in der Datenbank ausführen kann. Dies ist möglich, da der GET-Parameter id ohne Cast zu einem Integer oder andere Prüfung übernommen wird.

    Du musst die Datei content/nickpage.php prüfen; dort sollte sich im oberen Teil diese oder eine ähnliche Zeile befinden:

    $id = $_GET['id'];
    Um den Fehler zu beheben, musst du einen Cast einfügen:

    $id = (int)$_GET['id'];
    Das sollte diese Lücke schließen! Herzlichen Glückwunsch!

  4. #4
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Ein altbekanntes Problem was bereits hier angesprochen wurde:
    vms über SQL-Injections angreifbar!!!! An alle Webmaster!!!

    Gruß
    Gremlin
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  5. #5
    Moderator
    Registriert seit
    07.07.2006
    Beiträge
    1.370

    Glück gehabt...

    Na nur gut das ich keine Nickpages eingebaut habe...

    Nicknamen sind ja auch ausreichend erstmal...

    Hab ich mal wieder Glück gehabt...

    MfG

    //Edit by Swinxx: da das Thema ja jetzt geklärt ist und auch schonmal damals in einem Thread besprochen wurde mach ich hier mal CLOSE !

Ähnliche Themen

  1. Antworten: 21
    Letzter Beitrag: 08.09.2014, 23:30
  2. Klamm-Browsergame: Offizieller CityGangsta.de Thread
    Von Gremlin im Forum Non VMS Seiten
    Antworten: 1
    Letzter Beitrag: 06.04.2011, 22:31
  3. Sicherheitslücke im VMS 1.2
    Von Gremlin im Forum Ankündigungen (erledigt)
    Antworten: 20
    Letzter Beitrag: 22.01.2008, 21:24
  4. @all: "Sicherheitslücke" im VMS
    Von Ufisch im Forum Support zum VMSone
    Antworten: 34
    Letzter Beitrag: 08.06.2007, 20:33
  5. Sicherheitslücke?
    Von KiLLzOnE im Forum Support zum VMSone
    Antworten: 2
    Letzter Beitrag: 27.12.2006, 19:47

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •