Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 20 von 20

Thema: Admin Passwort ungeschützt

  1. #11
    Erfahrener Benutzer
    Registriert seit
    31.07.2006
    Beiträge
    649
    Jo jpwfour, vms1.1 aber bitte glaube mal nicht das die erhöhten Versionen besser sind, es beginnt mit der Userprofil und endet im Grunde genommen im Admin ................ Wenn ich Dir jeden gefundenen bug oder Fehler senden sollte, sorry, da bin ich länger als nur nen paar Tage beschäftigt mit. Warum? weil ich mittlerweile so ziemlich alles komplett durch gehe und die einzelnen Variablen weitgehend absichere. Die verschiedenen Zusatzmöglichkeiten kennst Du ja.

    Was ich festgestellt habe ganz grob ist an sich dass die 1.2 und höheren Versionen zwar das Design auf css umgestellt haben aber an sich am ursprünglichen Grundscript nur wenig verändert und auch wenig gesichert wurde. Einzelne Hauptfunktionen in der functions.lib.php o.k. jo, das gemacht worden, aber ansonsten und das das ausreichend ist kann ich nicht bestätigen.

    Nehmen wir die Schnittstelle ............ ist klamm platt wird ......... Du weisst was ich meine denke ich mal und da hast an sich schon den ersten simpel ausnutzbaren "Bug"

    Einfach zu beseiten durch @ noch besser zu beseitigen durch display error Off ........

    Schau einfach mal durch und ich denke Du findest dann noch viel viel mehr extrem simpel ausnutzbare Geschichten

  2. #12
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Jenny Beitrag anzeigen
    ... zu beseitigen durch display error Off ........
    ...
    Ok, sowas wird bei "solchen" Skripten dann iwie vorausgesetzt. Also dass serverseitig PHP schon ausreichend sicher vorkonfiguriert ist. Da aber viele VMS noch auf PHP4 betrieben werden, Fehlermeldungen an den Aufrufer ausgegeben etc., kann manden Leuten halt auch schlecht helfen.

    .htaccess Passwortschutz fürs Adminforce wird an vielen Stellen empfohlen, machen aber auch nur wenige. Sicherheit kommt zum Großteil durch den Webbi selber.

    Wenn ich dran denke, wie viele PNs ich der Art bekomme:
    "Du, kannst du mir nicht Addon XY einbauen? Addon & FTP Daten im Anhang"...

    Das jeder "Progger" mit den FTP Daten automatisch Komplettzugriff erlangt, ist Vielen wohl nicht bewusst oder es stört sie nicht (solang bis dann doch was passiert).

    Ein paar Webbis konnte ich immerhin von der Nutzung einer Versionsverwaltung (bspw. SVN) überzeugen, das schützt nicht nur vor Angreifern, sondern hauptsächlich vor unsachgemäßem Verhalten des Webbis und der sg. "Progger"
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  3. #13
    Erfahrener Benutzer
    Registriert seit
    31.07.2006
    Beiträge
    649
    Wir reden hier nicht von irgendwelchen Versionen und ob php4 oder php5, sondern davon, dass einfach sehr sehr viele Addons kaum bis keine Variablen Absicherung haben und das so ebenfalls jedem Tür und Tor geöffnet ist.

    Klar die Mails kannste mal Daten im Anhang *lol* o.k. da sind sich viele nicht klar drüber was sie da wirklich tun. Gerade Neulinge im Net sind da doch zu vertrauensselig und schauen auch nicht danach wer das ist der ihnen da was machen soll. Habe da auch schon so einige Klamotten erlebt *lol*

    Was mir aber immer wieder auch auffällt ist z.B. wenn bei vms ein update kommt *lol* ............. tolle Sache, aber alte Fehler bleiben drin. .......... *lol*

    z.B. die Geschichte mit dem reload der fehlte oder immer noch fehlt??? in der topframe_forced

    und viele viele weitere Kleinigkeiten

    Es kann doch nicht Sinn der Sache sein ein Update heraus zu bringen wo alte Fehler nicht bereinigt werden oder wo z.B. sicherheitsrelevante Sachen die bekannt sind nicht gefixt sind ................... sorry, das ja so als kaufe ich nen frisch auf den Markt gekommenes Auto wo der Motor fehlt oder die Bremsen runter sind oder so was

  4. #14
    Administrator Avatar von Lokutos
    Registriert seit
    29.03.2008
    Beiträge
    3.147
    Zitat Zitat von Jenny Beitrag anzeigen
    Wir reden hier nicht von irgendwelchen Versionen und ob php4 oder php5, sondern davon, dass einfach sehr sehr viele Addons kaum bis keine Variablen Absicherung haben und das so ebenfalls jedem Tür und Tor geöffnet ist.

    Klar die Mails kannste mal Daten im Anhang *lol* o.k. da sind sich viele nicht klar drüber was sie da wirklich tun. Gerade Neulinge im Net sind da doch zu vertrauensselig und schauen auch nicht danach wer das ist der ihnen da was machen soll. Habe da auch schon so einige Klamotten erlebt *lol*

    Was mir aber immer wieder auch auffällt ist z.B. wenn bei vms ein update kommt *lol* ............. tolle Sache, aber alte Fehler bleiben drin. .......... *lol*

    z.B. die Geschichte mit dem reload der fehlte oder immer noch fehlt??? in der topframe_forced

    und viele viele weitere Kleinigkeiten

    Es kann doch nicht Sinn der Sache sein ein Update heraus zu bringen wo alte Fehler nicht bereinigt werden oder wo z.B. sicherheitsrelevante Sachen die bekannt sind nicht gefixt sind ................... sorry, das ja so als kaufe ich nen frisch auf den Markt gekommenes Auto wo der Motor fehlt oder die Bremsen runter sind oder so was
    Dies ist korrekt so wird auch in zukunft nicht mehr passieren...
    nur aktuell steht bei mir noch was vorrangig vor einem update des VMS.
    SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting

  5. #15
    Erfahrener Benutzer
    Registriert seit
    31.07.2006
    Beiträge
    649
    Gut, wenn Du so weit bist gib Bescheid, evtl, wenn ich dann auch Zeit habe können wir das gern gemeinsam in Angriff nehmen

  6. #16
    Erfahrener Benutzer
    Registriert seit
    20.06.2007
    Beiträge
    1.905
    Zitat Zitat von jpwfour Beitrag anzeigen

    .htaccess Passwortschutz fürs Adminforce wird an vielen Stellen empfohlen, machen aber auch nur wenige. Sicherheit kommt zum Großteil durch den Webbi selber.
    Man könnte dazu noch den ordner umbenenn, ganz nachdem motto:
    domain.de/sds8df79sg0fgfdsnzdfgzndgs8q56d87f5sdfb/
    so, nun kann keiner das adminforce finden außer dem admin. der kann das als lesezeichen o.ä. abspeichern falls er sich das nicht merken kann

  7. #17
    Moderator
    Registriert seit
    07.07.2006
    Beiträge
    1.370
    Zitat Zitat von Xenon Beitrag anzeigen
    Man könnte dazu noch den ordner umbenenn, ganz nachdem motto:
    domain.de/sds8df79sg0fgfdsnzdfgzndgs8q56d87f5sdfb/
    so, nun kann keiner das adminforce finden außer dem admin. der kann das als lesezeichen o.ä. abspeichern falls er sich das nicht merken kann
    Hört sich nach einer guten Idee an, jedoch müssten dann alle Pfade im alten Adminforce angepasst werden, und fast jede Datei gecheckt werden.

    Also erstmal sollten wir das AdminPassowrt selbst nur noch verschlüsselt speichern, hier könne wir ansetzten, es ist eine kleine Änderung. Übers We werde ich mich da mal ranmachen wenn keiner zuvorkommt.

    MfG

  8. #18
    Erfahrener Benutzer
    Registriert seit
    20.06.2007
    Beiträge
    1.905
    Zitat Zitat von Masterphil Beitrag anzeigen
    Hört sich nach einer guten Idee an, jedoch müssten dann alle Pfade im alten Adminforce angepasst werden, und fast jede Datei gecheckt werden.
    Nein, da die links so sind, dass man den link ohne probleme ändern kann (hatte ich auch schon so gemacht). Und auch wenn es nicht gehen sollte, macht man replace "adminforce => sds8df79sg0fgfdsnzdfgzndgs8q56d87f5sdfb"
    Also erstmal sollten wir das AdminPassowrt selbst nur noch verschlüsselt speichern, hier könne wir ansetzten, es ist eine kleine Änderung. Übers We werde ich mich da mal ranmachen wenn keiner zuvorkommt.

    MfG
    einfach bei pageconfig.php da wo er es einsätzt, folgendes amchen die md5hash funktion eingeben (md5hash(); oder so)

  9. #19
    Erfahrener Benutzer
    Registriert seit
    17.02.2009
    Beiträge
    356
    Zitat Zitat von Masterphil Beitrag anzeigen
    Hört sich nach einer guten Idee an, jedoch müssten dann alle Pfade im alten Adminforce angepasst werden, und fast jede Datei gecheckt werden.
    Nö weil relative Pfade verwendet werden

  10. #20
    Erfahrener Benutzer
    Registriert seit
    20.06.2007
    Beiträge
    1.905
    Zitat Zitat von auron2008 Beitrag anzeigen
    Nö weil relative Pfade verwendet werden
    Zitat Zitat von Xenon Beitrag anzeigen
    Nein, da die links so sind, dass man den link ohne probleme ändern kann (hatte ich auch schon so gemacht). Und auch wenn es nicht gehen sollte, macht man replace "adminforce => sds8df79sg0fgfdsnzdfgzndgs8q56d87f5sdfb"
    *Zeichen voll*

Seite 2 von 2 ErsteErste 12

Ähnliche Themen

  1. 1 Admin + 1 Admin mit eingeschränkten Rechten anlegen?
    Von TS7 im Forum [HD] Codeschnippsel
    Antworten: 21
    Letzter Beitrag: 25.02.2010, 02:43
  2. Admin zugang Passwort vergessen
    Von gewitter im Forum Support zum VMSone
    Antworten: 8
    Letzter Beitrag: 12.12.2008, 21:13
  3. EF Passwort zu sehen
    Von Ische2K im Forum Support zu Addons & Erweiterungen
    Antworten: 8
    Letzter Beitrag: 09.01.2008, 16:50
  4. admin Passwort
    Von Sack im Forum [HD] Programmieren
    Antworten: 3
    Letzter Beitrag: 17.11.2007, 12:32
  5. Admin Login+Co admin
    Von halk im Forum [HD] Programmieren
    Antworten: 8
    Letzter Beitrag: 10.09.2007, 14:05

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •