Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: Mit VMS1 26 Milliarden Lose aus dem Nichts..

  1. #1
    Erfahrener Benutzer Avatar von Gothicman1
    Registriert seit
    20.07.2006
    Beiträge
    147

    Böse Mit VMS1 26 Milliarden Lose aus dem Nichts..

    Hallo,

    ich hatte bei mir gestern einen User, der konnte wohl Lose aus dem Nichts auf meiner Seite generieren.
    Bei Klamm ist er schon gesperrt. Er hat es geschafft in 20 Minuten auf meiner Seite über 25 Milliarden Lose irgent wie aus dem Nichts entstehen zu lassen, ohne das irgent etwas in der Datenbank oder geschweige denn im Buchungstext zu finden ist. Er hat auch keine Aktivpunkte oder Verzinsung bekommen, was bei diesen Losebetrag sehr verwunderlich ist. Selbst der Refverdienst war 1 einziges Los. Der Buchungstext bleibt leer.
    Kontostand des Users war: 25362412101.30 Lose
    Leider geht die Buchungsanzeige nur bis zum 2 stelligen Millionenbereich.
    Hier mal ein kleiner Auschnitt aus den Buchungen, den Usernamen habe ich weg gemacht:


    20.07.2007 - 22:16 Uhr 99.999.999,99
    20.07.2007 - 22:16 Uhr 99.999.999,99
    20.07.2007 - 22:16 Uhr 99.999.999,99
    20.07.2007 - 22:15 Uhr -99.999.999,99
    20.07.2007 - 22:15 Uhr 99.999.999,99
    20.07.2007 - 22:15 Uhr 99.999.999,99
    20.07.2007 - 22:15 Uhr 99.999.999,99
    20.07.2007 - 22:15 Uhr -99.999.999,99
    20.07.2007 - 22:15 Uhr 99.999.999,99
    20.07.2007 - 22:15 Uhr 99.999.999,99
    20.07.2007 - 22:14 Uhr 99.999.999,99
    20.07.2007 - 22:14 Uhr 99.999.999,99
    20.07.2007 - 22:14 Uhr 99.999.999,99
    20.07.2007 - 22:14 Uhr -90.000.000,00
    20.07.2007 - 22:14 Uhr 77.597.631,00
    20.07.2007 - 22:14 Uhr 77.597.631,00
    20.07.2007 - 22:13 Uhr 77.597.631,00
    20.07.2007 - 22:13 Uhr 77.597.631,00
    20.07.2007 - 22:13 Uhr -60.000.000,00
    20.07.2007 - 22:13 Uhr 23.597.631,00
    20.07.2007 - 22:13 Uhr 23.597.631,00
    20.07.2007 - 22:13 Uhr 23.597.631,00
    20.07.2007 - 22:12 Uhr -20.000.000,00
    20.07.2007 - 22:12 Uhr 5.597.631,00
    20.07.2007 - 22:12 Uhr 5.597.631,00
    20.07.2007 - 22:12 Uhr 5.597.631,00
    20.07.2007 - 22:12 Uhr -2.000.000,00
    20.07.2007 - 22:12 Uhr 3.797.631,00

    Dies ist nur ein kleiner Auschnitt wie gesagt es fehlt der Buchungstext und der User hatte vorher 1000 Lose auf seinem Konto.
    Kann sich das jemand erklären?

    LG Gothicman1

  2. #2
    Erfahrener Benutzer
    Registriert seit
    16.06.2009
    Beiträge
    2.346
    grüß dich schade das wir nur von einander lesen wenn du wieder mal opfer von betrügern bist


    der hat denke ich mal ne mysql injektion gemacht kannst mir mal an DimpleX@FakerHunter.de die serverlogs(http_access.log)senden dann schaue ich mir das an wie er es genau gemahct hat


    gruß
    DimpleX

  3. #3
    Erfahrener Benutzer
    Registriert seit
    26.01.2007
    Beiträge
    312
    Kann man gegen solche Injektionen was machen?

  4. #4
    Erfahrener Benutzer Avatar von swinxx
    Registriert seit
    16.09.2006
    Beiträge
    1.636
    Original von MasterG
    Kann man gegen solche Injektionen was machen?
    Machen kann man sicher was dagegen, die Frage ist nur was ?

    cu, Swinxx

  5. #5
    Erfahrener Benutzer Avatar von Hardy
    Registriert seit
    24.01.2007
    Beiträge
    2.235
    Original von swinxx
    Original von MasterG
    Kann man gegen solche Injektionen was machen?
    Machen kann man sicher was dagegen, die Frage ist nur was ?

    cu, Swinxx
    Also als erstes mal noHTMLnick einbauen.Dann ganz einfach die abfrage zum ändern des nicknames aus dem userprofil nehmen und somit hat man schonmal einen großen schritt gegen die gängige sql-injektionen getan.Dazu gibt es noch das addon sicherheits-funktion aus dem dl bereich der die sonderzeichen maskiert allerdings kann es auch zu problemen bei einigen addons kommen (bei mir war es zb das bank addon was dann nicht mehr ging)
    Ich nutze den Firefox nur um Opera Google Chrome runterzuladen

  6. #6
    Erfahrener Benutzer Avatar von Gothicman1
    Registriert seit
    20.07.2006
    Beiträge
    147
    [/quote]

    Also als erstes mal noHTMLnick einbauen.Dann ganz einfach die abfrage zum ändern des nicknames aus dem userprofil nehmen und somit hat man schonmal einen großen schritt gegen die gängige sql-injektionen getan.Dazu gibt es noch das addon sicherheits-funktion aus dem dl bereich der die sonderzeichen maskiert allerdings kann es auch zu problemen bei einigen addons kommen (bei mir war es zb das bank addon was dann nicht mehr ging)[/quote]

    Ja aber bei mir ist die Eingabe des Nicknamens schon auf 10 Zeichen begrenzt, so das man keinen HTML Code einsetzen kann. Man kann den Usernamen zwar ändern, doch auch nicht auf mehr als 10 Zeichen. Ich denke daran kann es nicht gelegen haben.

    LG Gothicman1

  7. #7
    Koki12
    Gast
    GeiL wär ja nur, wenn diese dann auch aufn EF Account sind !

  8. #8
    Erfahrener Benutzer Avatar von Hardy
    Registriert seit
    24.01.2007
    Beiträge
    2.235
    Original von Koki12
    GeiL wär ja nur, wenn diese dann auch aufn EF Account sind !
    können sie ja auch aber bitte im tresor
    Ich nutze den Firefox nur um Opera Google Chrome runterzuladen

  9. #9
    Erfahrener Benutzer
    Registriert seit
    26.01.2007
    Beiträge
    312
    Und wie macht man das mit dem noHTMLnick???

  10. #10
    Benutzer1699
    Gast
    ich würde einfach mal alle db_querys und mysql_querys prüfen. Alle Angaben aus Variablen mal mit mysql_real_escape_string bearbeiten.

    Falls jemand Probleme hat... Sollte jemand das VMS2 benutzen habe ich eine Modifikation der Klassen-Datei parat... nicht von unabhängigen Usern erprobt.

    www.php.net/mysql_real_escape_string

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Stg If Hp-lose vms1.2
    Von Everlast3310 im Forum Support zu Addons & Erweiterungen
    Antworten: 14
    Letzter Beitrag: 17.05.2009, 01:04
  2. Aus 10 mach 10 Milliarden!
    Von Freesnooze im Forum Talk, talk, talk...
    Antworten: 3
    Letzter Beitrag: 18.03.2009, 20:00
  3. Cron läd nichts ein
    Von deniz im Forum Support zum VMSone
    Antworten: 7
    Letzter Beitrag: 12.06.2008, 18:24
  4. Antworten: 5
    Letzter Beitrag: 11.04.2008, 18:08
  5. VMS1 ohe Lose Schnittstelle Frage
    Von Coinsrapper im Forum Support zu Addons & Erweiterungen
    Antworten: 2
    Letzter Beitrag: 02.04.2007, 01:02

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •