Hallo,
in den letzten Tagen bin ich vermehrt auf Sicherheitslücken in Addons gestoßen mit denen es möglich ist in Kürze die Betreiberkonten leer zu räumen.
Ein kurzes Beispiel:
Habe ich vor wenigen Minuten bei Verliebt-in-Lose.net getestet um es euch und dem Betreiber zu demonstrieren.
Harmlos angefangen mit einer kleinen Einzahlung um zu testen ob der Bug vorhanden ist! Und das war er:
Daraufhin nochmal nachgezahlt um das schneller auszunutzen:06.10.2008 - 00:57 VpYpNMyNuDJX9I 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 q28xbTjQpLv1HJ 1.000.000,00 **** - Gewonnen
06.10.2008 - 00:57 yt6bNTSYJshsYf 1.000.000,00 **** - Gewonnen
Fazit: 4 minuten Arbeit -> 103 Mio Gewinn! (welche ich dem Admin natürlich wieder gebe )06.10.2008 - 01:00 EZ7SJwMDtVDm1E 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 yYp3VUeucQuVzP 10.000.000,00 **** - Gewonnen
06.10.2008 - 01:00 FXwwS6lgtVhjTM 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 wH8LJ612ikrb5u 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 X86xlXa7W4N0LN 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 7sZnCXkyZ2mxyT 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:59 1RyOzthWXjrSZY 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 Tdb6fSrbH4h3Rf 10.000.000,00**** - Gewonnen
06.10.2008 - 00:59 JV2rCNwnqZPA8U 10.000.000,00**** - Gewonnen
06.10.2008 - 00:58 JOSg062PxGdrmR 10.000.000,00 **** - Gewonnen
06.10.2008 - 00:58 AAMUEwzqMYvLjL 10.000.000,00**** - Gewonnen
Hätte ich noch mehr Guthaben eingezahlt hätte ich das ganze noch viel höher machen können und so in wenigen Sekunden mehrere Milliarden Lose generieren können welche ich mir dann - bei einem gut gefülltem EF - schnell mal ausgezahlt habe.
Appel an die Webmaster:
Baut nicht jedes Addon ein was es mal für 1 Mio an der Ecke gibt, 1 Mio sind 17cent dafür macht ein guter Progger nichtmal seinen Editor auf, wenn ihr was kauft schaut in den Code und prüft ihn auf Lücken, oder wenn ihr es nicht selbst könnt holt euch einen Co-Admin der es kann!
Appel an die "Progger":
Achtet endlich mal auf mehr Sicherheit, bei dem entsprechenden Spiel wo ich diesen Bug ausgenutzt habe sind es 2-3 Zeilen Code welche den Bug hätten verhindern können.
Betroffenes Addon / Game in diesem Fall:
- Zeche (Die Zeche die es in einem Paket mit mehreren Zechen gab)
Informationen wie man den Bug ausnutzt wird es nicht geben auch nicht per PM etc.
Einen Bugfix kann ich auch nicht bieten da ich den Code der Zeche nicht vorliegen habe und mir diesen Mist bestimmt auch nicht kaufe wer also
Interesse an einem Bugfix hat, sollte sich bevorzugt an den Programmierer des Zechenaddons wenden und zwischenzeitlich die Zeche offline nehmen (einfach nur Link wegmachen reich nicht weil kluge Faker ihn bestimmt gespeichert haben deshalb Dateien vom Server löschen)
In Kürze gibt es in diesem Thread bestimmt noch weitere Addons die von Bugs betroffen sind.
Gruß
cdp