Warnung: Sicherheitslücken in Addons

[Gremlin]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.

Das ist ja das schlimme daran ...

Kuck man sich nur mal den HTML Code mit dem Validator an.

Oh man es ist ein großer Unterschied ob der HTML Code valide ist oder ob man in paar Sekunden den EF leer räumen kann, außerdem ist das 1.2.x in der Grundversion Valide.

Könntest du die Zeilen Posten..

Die Zeilen kann ich nicht posten weil ich das Addon bzw. den Code nicht habe

Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Ich mach das, damit die Leute die Zeche offline nehmen, den Bug finden und beheben sollte der "Progger" vom Addon schon selbst.

[maniwelt]

Ich meine die normalen Zechen, da gab es mal welche in einem Paket wo es die Zeche, 1000er Zeche und 10000er Zeche sowie die Multizeche genau die ist es.

Erkennt man an der Datei:
content/spiele/ezeche.php

Die Flashzeche hab ich auch schon getestet, bei der tritt der Fehler nicht auf.

Gruß
cdp

Hmmm....

Flash-Zeche hab ich ja auch, aber, dort hab ich nicht mal drann gedacht Bonuslose einzubauen, wurde ja verkehrt sein :P

[jpwfour]

Das Problem hat man aber bei fast allen Addons, dass man irgendwas includen oder injacken kann.
Weil meist einfach nicht genau geprüft wird..

Evtl kennst du nicht viele "Addons" von mir, aber da wäre ich mal gespannt darauf, was du so für Lücken findest

Es ist absolut inaktzeptabel, für ein PHP Script, welches Solch schwerwiegenden Lücken enthält, Geld zu bezahlen!
Das sollte man nicht damit abtun, dass (leider) viel zu viele Addons/Games/Interfaces voll mit Fehlern/Lücken/unzureichend Input Validation sind!

selbst bei den Addons die man hier DL kann geht es meist.

Das mag zum Teil so sein, dann bitte aber einem aus dem Team melden, solche Fehler sollten doch so schnell als Möglich behoben werden.
Leider ist es uns aus Zeitgründen nicht Möglich, jedes Addon 100% zu testen.

Was aber leider auch nicht gegeben ist das das Basissystem Fehler frei ist.
Kuck man sich nur mal den HTML Code mit dem Validator an.

Nicht valider HTML Code stellt aber "afaik" kein Sicherheitsrisiko da?

Edit..
Könntest du die Zeilen Posten..
Weil so da hinzuschreiben jo ich kann injacken und mios Generieren ist nicht wirklich hilfreich.

Nuja, also Tatsache ist, es gibt da ein "Zechen-Spiel", bei welchem soetwas Möglich ist, jetzt genau zu verraten wo und wie ist halt schlecht Möglich.

Jeder Webmaster/Admin, der so eine Zeche/mehrere auf PHP basierende drin hat, sollte diese sicherheitshalber einfach mal deaktivieren, evtl dann an cdp schreiben, ob er das testen kann, oder aber den Programmierer/Verkäufer zur Rede stellen.

Mir ist leider nicht bekannt, von wem dieses Spiel stammt.

EDIT: ich schreib mir heir nen Ast und gleich 2 kommen mir zuvor *heul*
bin für nen "safe lock" vom thread, sobald einer antwortet

[Freesnooze]

Oh man. Die Zeche hatte ich damals auch auf meiner alten Seite.

Was mir aber gerade einfällt. Es gibt auch einen Bug in einem PN - Addon, welches Igelchen damals vertrieben hat (Und zwar kostenlos im Klammforum mit einem Haufen anderer Scripte dazu).

Mit "Hilfe" dieses Addons, soll/ist es möglich sich Zugang zum Adminforce und den ganzen Useraccounts zu machen.
Fragt mich nicht wie das geht - ich habe keine Ahnung und wenn ich eswüsse, dann würde ich es auch nicht sagen.


Also woher ich das weiß:

Ihr kennt bestimmt noch www.lose-invest.de
Als der Webbi weg war, hat ein User sich den Spass gemacht und alles auf den Kopf gestellt und unter anderem diesen Bug ausgenutzt, und wirres Zeug veranstaltet. Da es sehr zu meiner Belustigung war, habe ich auch nicht weiter darüber nachgedacht.

Leider kenne ich nicht mehr den Namen des Users, wie er sich auf Lose-Invest nannte, der diesen Bug gefunden hatte.


Schönen Abend noch!

[Gremlin]

Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann

[eselfutter]

Einige User haben es ja von Anfang an vermutet:
In den Addons von Igelchen sind einige schwere Sicherheitslücken....
Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.
Ich kann nur jedem raten, schaut euch die Herkunft der Addons genau an. Igelchen hat massig davon unter die Leute gebracht. Erst verkauft und dann verschenkt......

[Gremlin]

Ich gehe einfach mal davon aus, da Du, cpd, von einer hier 4free verteilten Zeche schreibst, dass diese ebenfalls aus dem Paket kommt.

Ne die Zeche war nicht 4free da musste man noch ordentlich was für hinlegen.

[jpwfour]

Jo, es gibt da nicht nur Igelchen, sondern z.bsp.: auch noch diesen Gesellen hier:
http://www.designerscripte.net/showthread.php?t=6611
Weiß zwar nicht, wie es aktuell bei ihm aussieht, aber vorsicht ist da natürlich schon geboten.

Aber Gottseidank gibt es nun den Retter , der im Klammforum damit die Webmaster noch abzockt, indem er für nicht gerade wenig Lose anbietet, die Seite auf "bugs" zu überprüfen.
Wenn er dann welche findet, kostet die Behebung natürlich extra
Hat der nen Vertrag mit den "schlechten" Proggern oder was?

(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

[Frejia]

(Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)

Hier ist der Beitrag den du gemeint hast:
http://www.klamm.de/forum/showthread.php?t=226374

Mone hat sich da mitlerweile schon- ich drücks mal höflich aus- kritisch dazu geäußert.

[Gremlin]

Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.