Es geht hier nicht um den User als Klammuser, sondern um Ihn in seiner "Funktion" als PHP-Scripte Ersteller und auch Verkäufer.
Klamm-Forum Nick: faxemichel, Klamm-ID: 149608
Das hier eingesetzte Script:
http://www.money4leads.de/
ist von Ihm, hatte er mal im Klamm Forum verkauft
http://www.klamm.de/forum/showthread.php?t=202584
jetzt gottseidank eingestellt, aber auf nachfrage von mir per PN wollte er es mir für 150 Mio verkaufen
da ich generell nicht die katze im sack kaufe, hab ich mir natürlich erst mal die funktinsweise des scriptes angeschaut, abgesehen davon, dass auf seienr seite ein link nicht vorhanden ist, die beiden links zu den mediadaten nicht genau gleich funktionieren, sprich bei dem einen ein wert einfach nict dabei ist, werden:
bei der anmeldung die eingegebenen daten keinerlei validiert (noch nicht ganz soo schlimm), und:
kann man sich auf einfachstem wege zugang zu seinem administrationsbereich verschaffen und somit nicht nur alles ändern, löschen, sondern ja auch die privaten daten seiner user einsehen, was an sich schon ein grund wäre, ihn anzuzeigen...
ich habe ihm das schon im selben moment auf klamm per PN mitgeteilt, bin ja mal gespannt, ob er das jetzt ändert.
wenn er solche lücken in scripten lässt, die nur er benutzt, ist mir das ja egal, sein problem, aber wenn er diese scripte verkauft und dazu noch zu solchen priesen, finde ich das nur noch dreist und unverschämt, ich kann mir war leider das script nicht anschauen, aber ich nehme jede wette an, dass übergebene werte per POST/GET direkt in SQL befehlen verwendet werden und dass es sicher noch mehr lücken gibt, aber nach dem ich die eine entdeckt hatte, war mir schon so schlecht, dass ich gar nicht mehr weitersuchen wollte
also einfach der appell an alle, die scripte von ihm gekauft haben, überprüft diese oder gebt sie ihm zurück, wobei er das ja sicher nicht annehmen wird, und in zukunft, naja, will ich nicht generell vom scripte kauf bei ihm abraten, aber wenigstens zu vorsicht raten!
(btw: sollte er dies abstreiten, kann man das ganz leicht überprüfen, in dem einer der käufer, und das waren ja auch nicht so wenige, unter anderem ein mod vom klammforum, einfach mal sein script irgendwo hochlädt, dann kann ich da das gerne demonstrieren)