Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 18

Thema: Sicherheit im VMS

  1. #1
    Pantau
    Gast

    Idee Sicherheit im VMS

    1.
    Bei der Sicherheitslücke handelt es sich um einen Fehler in der Nickpage-Datei.

    Du musst die Datei content/nickpage.php prüfen;
    dort sollte sich im oberen Teil diese oder eine ähnliche Zeile befinden:

    $id = $_GET['id'];

    $id = (int)$_GET['id'];
    Das sollte diese Lücke schließen! Herzlichen Glückwunsch!


    Bei der Sicherheitslücke handelt es sich um einen Fehler in der Nickpage-Datei.
    --------

    2.
    Bei der Sicherheitslücke handelt es sich um einen Fehler in der Userprofil-Datei.


    Du musst die Datei content/konto/userprofil.php prüfen;
    dort sollte sich im oberen Teil diese oder eine ähnliche Zeile befinden:

    $_POST['max_forced'];


    (int)$_POST['max_forced'];
    Das sollte diese Lücke schließen! Herzlichen Glückwunsch!

    Dies haben 2 Progger bestätigt

  2. #2
    Erfahrener Benutzer
    Registriert seit
    26.01.2007
    Beiträge
    312
    Hallo,

    also ich habe das 1. schon mal geändert. Aber beim 2. bin ich mir noch unsicher. Bei mir kommt das so vor:
    if ($_POST['newsletter'] == 0 and $_POST['paidmails'] == 0) $mailstatus = 0;
    if ($_POST['newsletter'] == 1 and $_POST['paidmails'] == 0) $mailstatus = 1;
    if ($_POST['newsletter'] == 0 and $_POST['paidmails'] == 1) $mailstatus = 2;
    if ($_POST['newsletter'] == 1 and $_POST['paidmails'] == 1) $mailstatus = 3;
    db_query("UPDATE ".$db_prefix."_emaildaten SET freigabe_fuer = ".$mailstatus.", emailadresse = '".$_POST['emailadresse']."' WHERE uid=".$_SESSION['uid']."");
    db_query("UPDATE ".$db_prefix."_userdaten SET max_forced = '".$_POST['max_forced']."' WHERE uid=".$_SESSION['uid']."");
    $change .= 'Deine Daten wurden aktualisiert!<br>';
    Also nach $_POST['max_forced'] ist kein ; und es ist ja nicht einzeln. Kann ich das bedenkenlos ersetzen durch das (int)$_POST['max_forced']; ?

  3. #3
    Erfahrener Benutzer
    Registriert seit
    03.01.2007
    Beiträge
    272

    hmmm

    das frag ich mich auch gerade...

    wie setzt man das dort ein?

    Danke schon mal!

  4. #4
    Erfahrener Benutzer Avatar von SebbyPHM
    Registriert seit
    17.07.2006
    Beiträge
    844
    einfach in eine neue Zeile vor dem db_query mit INSERT INTO folgendes einfügen:

    Code:
    $_POST['max_forced'] = (int)$_POST['max_forced'];
    Mit freundlichem Gruß
    SebbyPHM




  5. #5
    Erfahrener Benutzer
    Registriert seit
    03.01.2007
    Beiträge
    272

    hmmm

    sorry, bitte, aber
    wo bau ich denn die freie Zeile?
    und
    INSERT INTO ? O.O
    nich einfach das StringDingens da rein kopieren?
    ?(

  6. #6
    Erfahrener Benutzer
    Registriert seit
    26.01.2007
    Beiträge
    312
    Meinst du das so?

    $_POST['max_forced'] = (int)$_POST['max_forced'];
    db_query("UPDATE ".$db_prefix."_userdaten SET max_forced = '".$_POST['max_forced']."' WHERE uid=".$_SESSION['uid']."");

  7. #7
    Benutzer Avatar von TS7
    Registriert seit
    27.05.2007
    Beiträge
    66
    ist das jetzt so richtig wie in dem Post über mir?

  8. #8
    jr-coolman
    Gast
    Weis jetzt jemand ob das so korrekt ist wie das in der vorletzten post gemacht wurde?

  9. #9
    Erfahrener Benutzer Avatar von MK75
    Registriert seit
    08.07.2006
    Beiträge
    272
    So hier muß das, wenn ich nicht irre, bin schon etwas raus aus dem VMS.

    PHP-Code:
    if ($_POST['newsletter'] == and $_POST['paidmails'] == 0$mailstatus 0;
    if (
    $_POST['newsletter'] == and $_POST['paidmails'] == 0$mailstatus 1;
    if (
    $_POST['newsletter'] == and $_POST['paidmails'] == 1$mailstatus 2;
    if (
    $_POST['newsletter'] == and $_POST['paidmails'] == 1$mailstatus 3;
    db_query("UPDATE ".$db_prefix."_emaildaten SET freigabe_fuer = ".$mailstatus.", emailadresse = '".$_POST['emailadresse']."' WHERE uid=".$_SESSION['uid']."");
    $_POST['max_forced'] = (int)$_POST['max_forced']; 

  10. #10
    Erfahrener Benutzer
    Registriert seit
    03.01.2007
    Beiträge
    272
    oki, danke!

    Schönes Wochenende!

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Hacking und Sicherheit
    Von Iwan933 im Forum [HD] Grafik, Server & Sonstiges
    Antworten: 2
    Letzter Beitrag: 21.03.2013, 19:38
  2. VMS sehr unsicher! SICHERHEIT GEHT VOR!!!
    Von klickfan im Forum Support zum VMSone
    Antworten: 1
    Letzter Beitrag: 23.11.2011, 18:58
  3. Antworten: 0
    Letzter Beitrag: 29.10.2008, 12:11
  4. IT-Sicherheit und Überwachung: Scharfe Kritik an der ITU
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 22.10.2008, 13:26
  5. Download Update Sicherheit
    Von MasterG im Forum Support zum VMSone
    Antworten: 4
    Letzter Beitrag: 23.06.2007, 00:16

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •