|
Hi,
sorry weiß leider nicht in welches Forum ich das Packen soll, aber da gerade hier so viel zu diesme Thema ist schreibe ichs mal hierhin, ein Mod kanns ja dann verschieben.
habe einen kleinen Hack entworfen. Habe es auf einem wBB 2.1.6 getestet, dürfte aber auch in den meisten Versionen drunter und drüber funktionieren, da sich an den FUnktionen nichts grundlegendes geändert hat.
- Mehrfachverschlüsselung der Passwort mit einem Zufalls-Salt, sodass ihr Passwort nicht gecrackt werden kann (mit der größe des Saltes und der Mehrfachverschlüsselung würde das Cracken mehrere Millionen Jahre brauchen).
- Cookie-Hashes werden mit einem Salt berechnet, sodass ein Angreifer sich nicht mit dem Hash aus der Datenbank in ihren Account einloggen kann
Die einzige möglichkeit wie sich nun noch ein Angreifer zugriff auf den Useraccount besorgen könnte, währe das er das Cookie des User stiehlt. Dazu muss er aber eine XSS Lücke auf dem Server ausnutzen.
Anleitung und Installationsdatei im Anhang. Es kann sein das wenn ihr in einem Editor die suchen Funktion nutz, ihr nichts findet, das liegt daran das bei den verschiedene wbb-versionen mal leerzeichen nach einem if sind und manchmal nicht. Versucht einfach die zu suchende Zeile so mit dem bloßen Auge zu finden, mir hat oft ein eifnaches suchen nach "md5" geholfen und ich kam zu der gewünschten Zeile.
Ich erbitte um Feedback und Bugreports.
Download: http://www.
Mfg
onkel_fisch
__________________ Meine erstellten Hacks:
Sichere Password-Hashes v1.0
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von onkel_fisch: 29.06.05 20:56.
|
|
29.06.05 20:56 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Hacksucher
Mitglied
Dabei seit: 25.05.05
Beiträge: 296
Herkunft: Wen geht das an? Forenversion: Wbb lite bald 2.3.2
|
|
??
Hört sich gurt an, ob der aber auch was bringt?
du sagst, der geht auch fürs wbblite?
__________________ te stultum voco!
|
|
29.06.05 21:03 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Samwan
TEAM - Administrator
Dabei seit: 01.01.04
Beiträge: 2.237
Herkunft: Insel der Aphrodite
|
|
Du kannst diesen addon in unsere wbb2-datenbank hochladen und veröffentlichen - sofern du bereit bist auch hier support dafür zu geben. Andernfalls müssten wir auf diesen Addon bei y****** verzichten.
__________________ mfG
Samwan
Bitte keine Fragen zu Hacks und Addons per PN, denn ich code nur ins Klo!
|
|
29.06.05 21:04 |
WWW
Finden
Als Freund hinzufügen
|
|
nibble
4 Byte
Dabei seit: 17.01.04
Beiträge: 1.983
Herkunft: /dev/urandom
|
|
Deine Ausführung hat imo einen kleinen Fehler (ich hab kein wbb2, aber da wirds sicher auch die Möglichkeit geben): Was passiert, wenn im ACP an den Benutzer ein neues Passwort vergeben wird? Hast du das was vergessen oder hab ichs nur übersehen?
__________________ Es wird immer jemanden geben, der in unglaublicher witziger Manier eine Aussage übertreffen muss.
|
|
29.06.05 21:05 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
onkel_fisch
Mitglied
Dabei seit: 15.05.04
Beiträge: 8
Themenstarter
|
|
Zitat: |
Original von nibble
Deine Ausführung hat imo einen kleinen Fehler (ich hab kein wbb2, aber da wirds sicher auch die Möglichkeit geben): Was passiert, wenn im ACP an den Benutzer ein neues Passwort vergeben wird? Hast du das was vergessen oder hab ichs nur übersehen? |
Vielen Dank, das hatte ich noch vergessen !
__________________ Meine erstellten Hacks:
Sichere Password-Hashes v1.0
|
|
29.06.05 21:08 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
ViV0
Mitglied
Dabei seit: 04.12.05
Beiträge: 1
|
|
Sry ,dass ich diesen Thread jetzt noch hochhole.
Aber hat jmd diesen Hack?
Interessiert mich unheimlich und sein Forum ist closed
.
Das Nachfolgerforum ist nur so von MySQLerrorn befallen
|
|
24.01.06 02:11 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Lucadris
Pornoking
Dabei seit: 17.01.06
Beiträge: 97
Herkunft: Innsbruck (AUT) Forenversion: 2.3
|
|
du bist kein wbb2 user also wird den für dich gar nicht geben
Undwenn dann ist er nur im wbb 2 bereich
__________________ My Projects:
|
|
24.01.06 02:52 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
ESmazter
Mitglied
Dabei seit: 28.03.04
Beiträge: 1.368
Forenversion: 1.0
|
|
Zitat: |
Original von Lucadris
du bist kein wbb2 user also wird den für dich gar nicht geben
Undwenn dann ist er nur im wbb 2 bereich
|
Der funktioniert mit allen sagt er doch.
|
|
25.01.06 14:11 |
Finden
Als Freund hinzufügen
|
|
|