Ergebnis 1 bis 10 von 66

Thema: Warnung: Sicherheitslücken in Addons

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Jo, es gibt da nicht nur Igelchen, sondern z.bsp.: auch noch diesen Gesellen hier:
    http://www.designerscripte.net/showthread.php?t=6611
    Weiß zwar nicht, wie es aktuell bei ihm aussieht, aber vorsicht ist da natürlich schon geboten.

    Aber Gottseidank gibt es nun den Retter , der im Klammforum damit die Webmaster noch abzockt, indem er für nicht gerade wenig Lose anbietet, die Seite auf "bugs" zu überprüfen.
    Wenn er dann welche findet, kostet die Behebung natürlich extra
    Hat der nen Vertrag mit den "schlechten" Proggern oder was?

    (Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  2. #2
    Erfahrener Benutzer
    Registriert seit
    08.02.2008
    Beiträge
    157
    Zitat Zitat von jpwfour Beitrag anzeigen
    (Sorry, finde den Thread grad nicht wieder, war aber wohl im Lose4Action)
    Hier ist der Beitrag den du gemeint hast:
    http://www.klamm.de/forum/showthread.php?t=226374

    Mone hat sich da mitlerweile schon- ich drücks mal höflich aus- kritisch dazu geäußert.

  3. #3
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  4. #4
    Erfahrener Benutzer
    Registriert seit
    11.01.2008
    Beiträge
    483
    Zitat Zitat von cdp Beitrag anzeigen
    Hast du das PM Addon? Würde da gerne mal eine Livedemo von sehen, kann mir schon denken wie man da auf den Adminbereich zugreifen kann
    Zitat Zitat von cdp Beitrag anzeigen
    Also das PN Addon von Igelchen hab ich mir mal angeschaut das ist ja echt ein Knaller, da kann man in den PM Text HTML Befehle einschleußen, unter anderem auch Scriptcode und wenn man da Scriptcode ausführen kann ist das ziemlich gefährlich denn damit kann man Userdaten auslesen und sich zukommen lassen.
    Ok, gut, dass du es jetzt schon hast. Ich konnte den ganzen Tag nicht on kommen, um dir das Addon zukommen zu lassen!

    Genau irgendwas von HTML hatte "er" damals auch gesagt. Nunja ich hatte/habe halt keine Ahnung.

  5. #5
    Erfahrener Benutzer Avatar von neoplacer
    Registriert seit
    23.07.2006
    Beiträge
    158
    hi@All
    mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
    Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
    Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
    @jpwfour
    Ich kenne leider keine addons von dir sry..
    Gibt mir ein paar links via PM und ich kuck Sie mir mal an.
    Tja es gibt halt viele die das nie so richtig gelernt haben aber trotzdem CODEN,
    Was auch ihr gutes recht ist.
    Man sieht das aber eigentlich schon am Quellcode..
    Was es für ein Coder ist.
    Wenig Kommentare
    Keine Einrückung usw.
    --> Schlechter Coder.

    Ich persönlich arbeite meine Scripte in SVN als Versionsverwaltung, dass ist sehr Praktisch.
    Wenn man dann noch ein Bug Script hat, wo man sich mögliche Risiken anzeigen lassen kann hat man fast ausgesorgt.(Kein CODE ist PERFEKT)[BUG FREI FÜR LOSE HM LOL]

    @All
    Vielleicht sollte designerscripte auch ein SVN Service für das VMS anbieten wo man Sicherheitspatchs in der Basis Version auf einfache weise einspielen kann.
    Wo sich dann zum beispiele meiner einer ransetzten kann und das Template des Basissystem Valid machen kann. Weil kleine Fehler wie <br> --> <br /> nerven schon irgendwo.
    Leider hatte ich bis jetzt ja immer noch keine Antwort auf meine Frage ob die Patches schon eingespielt sind oder nicht...

  6. #6
    Erfahrener Benutzer Avatar von dragon11
    Registriert seit
    06.07.2006
    Beiträge
    320
    Zitat Zitat von neoplacer Beitrag anzeigen
    hi@All
    mir fällt es halt nur auf das bei vielen addons nicht geprüft wird ob die Post oder GET anfrage auch wirklich eine zahl etc ist..
    Was bei vielen sogar ausfällt das Sie diese GET/Post /bzw.var):/ direkt In die SQL Anweisung einbauen ohne vorher zu prüfen.
    Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
    hm, dann schau mal in dein refkauf-addon Zeile 19
    mfg
    dragon11

  7. #7
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Was man aber keines Wegs bei einem Offenen Quellcode machen sollte.
    Das sollte man allgemein nicht tun, auch nicht wenn der Quellcode nicht offen ist.
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  8. #8
    Moderator
    Registriert seit
    07.07.2006
    Beiträge
    1.370
    @dragon11 & all: Das Refkauf-Addon das ich verwende ist von Doulten.

    In Zeile 19 ligt der Fehler bei mir nicht, da wird der Werber und dessen Werber etc geprüft.

    Könnte aber an den Zeilen danach liegen, wo der Kontostand etc geprüft werden.
    Auch zu bedenken ist, das ich das Bonusose Addon eingebaut habe, vielleicht hängt es ja auch damit zusammen.

    Bis jetzt hat sich der BugUser lleider nicht nochmal gemeldet, bis morgen geb ich ihn noch, eh ich ihn dann doch sperre.

    Nagut, mal schauen wie es morgen ausschaut.

    MfG

Ähnliche Themen

  1. Warnung vor hoschibear!
    Von RainbowDash im Forum User
    Antworten: 9
    Letzter Beitrag: 18.12.2012, 13:44
  2. Sicherheitslücken
    Von Pauli1990 im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 29.11.2010, 00:23
  3. Firefox 3.0.4 schließt neun Sicherheitslücken
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 13.11.2008, 10:38
  4. Neue KTorrent-Version schließt Sicherheitslücken
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 28.10.2008, 12:13
  5. Kritische Sicherheitslücken in Adobe Flash 9
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 16.10.2008, 18:00

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •