Ergebnis 1 bis 10 von 11

Thema: Sicherheitsproblem der übelsten Art

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer
    Registriert seit
    11.01.2007
    Beiträge
    278

    Ausrufezeichen Sicherheitsproblem der übelsten Art

    Hallo,

    mir ist gerade was passiert, was ich bis jetzt überhaupt noch nicht erlebt habe und was ich auch echt nicht einzuordnen weiß. Bin mit meinem Latein am Ende.

    Vor ca. 15min erreichen mich auf meiner Seite mehrere PNs:

    Hi ,
    bin durch zufall ins userkonto von XXX gerutscht als ich auf den link von quick lose bei google geklickt hab ,

    Nickname: XXX
    Kontonummer XXX
    Konto eröffnet am 07.04.2008 - 16:42
    Aktueller Kontostand 1,49 Anteilspunkte
    Dein Werber (Refback %) XXX (100 %)
    Aktueller Verdienst 31,50 Anteilspunkte
    Gesamt für den Werber XXX Anteilspunkte

    könnt ihr euch mal drum kümmern , muß ja nicht jeder sehen was andere user auf dem konto haben oder wie ihre Rl Namen sind , von XXX is er XXXX.................
    Alle so in etwa in dieser Art. Erst konnt ich das nicht glauben, aber dann kamen mehrere PNs dieser Art.
    Dann ein Hinweis von einem User :

    http://www.google.de/search?q=PHPSES...ient=firefox-a

    Jetzt geht es nicht mehr, weil ich den User sicherheitshalber gesperrt habe. Aber ich habe es selbst ausprobiert. Ich habe mich selbst ausgeloggt, meine Cookies gelöscht und dann den Link geklickt. Und bumms war ich in nem fremden Userkonto eingeloggt.

    Wie geht denn sowas? Und vor Allem wie kann ich das verhindern? Sind jetzt alle Accounts gefährdet?

    Ich bitte um Hilfe und bezahle diese auch. Hauptsache es geht so schnell wie möglich. Auch für eine Erklärung wär ich dankbar. z.B. ob die Gültigkeit des Links begrenzt ist usw.


    Gruß
    Marco

  2. #2
    Erfahrener Benutzer
    Registriert seit
    11.01.2007
    Beiträge
    278
    Nachdem ich den User gesperrt hatte und erneut wieder freigeschaltet habe ist der Link nun scheinbar ungültig. Trotzdem würde mich interessieren, wie so etwas vorkommen kann und wie hoch das Risiko ist, das so etwas wieder vorkommt.

    Ich habe mir fogendermassen geholfen, bin mir aber nicht sicher ob es hilft:

    In die index.php hab ich ganz oben dies eingesetzt :
    Code:
    if (strlen($_GET['PHPSESSID']) > 1) {
    unset($_GET['PHPSESSID']);
    	setCookie('uid','',time()-86400*30);
    	setCookie('passwort','',time()-86400*30);
    	setCookie('autologin','',time()-86400*30);
    	$_SESSION['uid']		= "";
    	$_SESSION['passwort']	= "";
    	$_SESSION['login']		= "";
    }
    Zusätzlich diese Zeile mit in die htaccess geschrieben :

    Code:
    php_value session.use_trans_sid 0
    Jetzt würde mich halt interessieren, ob das der richtige Weg ist, oder wie man sich bzw. die Userkonten am Besten schützen kann. Denn sowas ist ja hammerkrass. Hab ich auch solange wie ich im Netz unterwegs noch nie erlebt. Scheine wohl ein ausgesprochenes Glückskind zu sein^^

    Gruß
    Marco

  3. #3
    Ische2K
    Gast
    schuld is vermutlich die session Id da die bei google mit erfast wurde konnte man rein das ist natürlich echt übel ^^

  4. #4
    Ische2K
    Gast
    Zitat Zitat von Ische2K Beitrag anzeigen
    schuld is vermutlich die session Id da die bei google mit erfast wurde konnte man rein das ist natürlich echt übel ^^
    schreib deinen betreiber mal an der soll die session id abschalten das die ned immer angezeigt wird damit kannste erst mal bissel vorbeugen dann heißt es gucken das jede sitzung neu gestartet wird und auch beendet wird also auto log of so in der art

  5. #5
    Ische2K
    Gast
    Wichtig!!!

    Sofort wenn Möglich betreiber anschreiben oder die Session Id selber auschalten ich glaub da muss ein update her ^^


    Das Poroblem ist Definitiv die session id mit Worka getestet möglichst die session id ned anzeigen lassen das keiner auf die idee kommt unfug zu treiben.

    die Session Id wird in den cookis gespeichrt also gucken das immer der logout benutzt wird oder ein zwangs logout geschieht ^^ siehe oben den code.

    google sucht nicht mehr nach den session ids aber trozdem ältere seiten zb könnten noch drinstehen

  6. #6
    Moderator Avatar von Worka
    Registriert seit
    21.05.2007
    Beiträge
    973
    Wir (Ische2K und ich) haben es grad mal nachgestellt und ich bin auch in Ische2Ks Account gekommen.

    Kann man da nicht noch zusätzlich mit einem Cookie absichern?

  7. #7
    Erfahrener Benutzer
    Registriert seit
    11.01.2007
    Beiträge
    278
    Ich werde das nun so machen, das ich einen beliebigen Code in ein Feld in die Db speichere. Der wird dann in ein Cookie gespeichert. Paßt der Cookie nicht zum Code = autom. Logout

    Denke das sollte helfen. Sollte man drüber nachdenken das man das, oder etwas Ähnliches ins Basisscript mit aufnimmt. Die Chance das es passiert ist ja ziemlich gering, aber wie man sieht kann es vorkommen.

    Gruß
    Marco

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •