Warnung: Sicherheitslücken in Addons

[Laemmi]

Hallo,
ich bin leidenschaftlicher Zechenspieler, spiele auf über 100 Loseseiten dieses Game. Dabei sind auch noch viele der im ersten Posting beschriebenen Zechen. Auf meiner eigenen Loseseite verwende ich nur die Flashzeche.

Nun hat mir die Sache keine Ruhe gelassen. Ich muss gleich sagen ich bin kein wirklicher Progger, ich hab nur paar kleine Grundkenntnisse womit ich mir selber Addons/Games/Interface einbauen kann oder mal ne Kleinigkeit an der Page basteln.

Zurück zur Zeche, hab nun zu später Stunde versucht diese html-Zeche zu manipulieren (ich kenne ja den Bug nicht den cdp gefunden hat) und mit Schrecken musste ich feststellen, ich hab es binnen weniger Minuten geschafft. Keine Ahnung ob ich die gleiche Schwachstelle ausgenutzt hab wie cdp aber ich kann diese Zeche definitiv manipulieren.

Ich hab es auf einer Seite getestet und den Admin sofort von diesem Thread in Kenntnis gesetzt (keine Bange hab mir damit keine Lose ergaunert!!! - ich bin ein ehrlicher Lump *g*). Nun hat mich noch interessiert wie es auf der Seite ausschaut die cdp genannt hat, also auch diese Zeche kann ich noch manipulieren. Also hat er den Bug dort nicht behoben??
Auch diesen Webmaster hab ich von dem Beitrag hier in Kenntnis gesetzt und keine Bange auch dort hab ich mich nicht bereichert!!

LG Laemmi

[Gremlin]

Also hat er den Bug dort nicht behoben??

Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.

[Laemmi]

Hallo,
ich werd im Laufe des Tages versuchen alle Webmaster die diese Zeche einsetzen zu informieren, dass sie erstmal die Zeche off nehmen.
Dann bräuchte man einen sehr guten Progger der in der Lage ist diese Lücke zu stopfen.

@cdp, bist du in der Lage den Fehler zu beheben?

LG Laemmi

[MrRomeobln]

Scheint so, hatte ihn aber auch informiert und den Link zu diesem Thread gegeben.

Naja ich kenn Ihn ein wenig und meine links zu irgendwelchen Threads hat er meist unbeachtet gelassen, aber ich hab nen herz für tiere und habe ihn spontan von der Arbeit ans Handy beordert und Ihn Informiert das er diese umgehend offline nehmen soll - nun hilft nur noch tee trinken und abwarten.

Ach ja Danke Laemmi das Du auch an mich gedacht hast, auch wenn ich den Thread hier bereits kenne :-)

[Laemmi]

Hallo,
da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

Wie gesagt ich selber besitze nur die Flashzeche.

So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

LG Laemmi

[Gothicman1]

Ich habe jetzt mal gekramt. Kann es sein das die Zechen von Toplose (KID 142341) sind?
Ich habe noch die Zechen und die alte Lizenz dazu hier??

Auszug a. d. Lizenz:

Name des Scripts : Losehotel und Einzel / Multizeche / Megazeche / 1000erZeche / 10000erZeche
Lizenzart : Einzellizenz (Einzelplatz)

Kontakt:
Klamm-Nick: Toplose ( 142341)
Forum-Nick: Toplose

Habe gerade mal geschaut, selbst wenn er es ist haben wir da schlechte Karten, denn den User gibt es bei Klamm nicht mehr ;-(
Habe zwar noch ne Mailadresse aber ob die noch Gültigkeit hat, kann ich nicht sagen.


LG Gothicman1

[TopMailerde]

Vielen Dank für den Tip...

Habe gleichmal alles runtergehauen vom Server was mit der Zeche zu tun hat.

Gruß Rico

Hallo,
da ich ein bis in die Haarspitzen (hab fast keine mehr *g*) neugieriges Kerlchen bin hab ich mir eben mal die Bonuszeche von cdp angeschaut und ich ziehe meinen Hut, diese hat einen Fakeschutz. Hab es eben einmal auf einer Seite getestet.

Deshalb hoffe ich mal cdp wäre vielleicht in der Lage auch die alte Zeche abzusichern? Oder wer von euch kennt den Progger der alten Zeche?

Wie gesagt ich selber besitze nur die Flashzeche.

So nun mach ich mich mal ans anschreiben der Webmaster die diese gefährdete Zeche drin haben.

LG Laemmi

[Laemmi]

Hallo,
also ich hab etwa 25 Webmaster informiert die diese Bug-Zeche in Einsatz haben. Konnte 2 Webmastern auch schon beweisen, ja ihre Zeche ist betroffen - ich hab nur Leute angeschrieben wo die Zeche unsicher ist. Zum Glück verschwindet sie jetzt langsam von den Seiten.

Der Hinweis mit dem Progger ist gut, aber wenn er nicht mehr kontaktierbar ist *stöhn*

Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.

LG laemmi

[dragon11]

Ich selber kann die Lücke nicht schliessen, sorry dafür reichen meine bescheidenen Kenntnisse nicht aus.

LG laemmi

Ich habe evtl eine Lösung, da ich aber zu dumm bin, solche Lücken auszunützen, wäre es gut, du würdest dich mal bitte bei mir melden, um die Zeche jetzt zu testen.

[Laemmi]

Hallo,
schick mir ne PN mit der url deiner Seite dann teste ich ob es bei dir zutrifft. Irgendwelche Details über den Bug teile ich keiner Person mit!

LG Laemmi