YourWBB


yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Hacks und Addons » User Anstupsen (Facebook Like) » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 4.372 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen

Zum Ende der Seite springen User Anstupsen (Facebook Like)
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

 User Anstupsen (Facebook Like) Antworten Zitieren Editieren Melden       UP

Titel: User Anstupsen (Facebook Like)
Version: 1.0.2
Beschreibung:

Hi,

Erstmal Sorry das ich in letzter Zeit inaktiv war aber ich habe relativ viel um die Ohren.
Als Entschuldigung hier mal ein kleiner Hack. Augenzwinkern

Viele kennen diese Funktion warscheinlich aus Facebook.
Man kann jemanden Anstupsen und der kann dann zurückstupsen. Ziemlich lustige Funktion, auch nützlich gegen Langeweile... großes Grinsen

Update 1.0.1

- Behebt eine Sicherheitslücke die derkleene gefunden hatte.

Update 1.0.2

- Macht den Usernamen des Stupsers Klickbar (leitet zu dessen Profil weiter).
- Behebt den Bug das Gäste ebenfalls Stupsen konnten.

----


weiter zum Download

Dateianhänge:
png Alert_Index.png (52 KB, 276 mal heruntergeladen)
png Alert_Othersite.png (71 KB, 253 mal heruntergeladen)
png Redirect_After_any_Action.png (5,41 KB, 262 mal heruntergeladen)
png stups_anyone_by_profile_click.png (68,41 KB, 251 mal heruntergeladen)


__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
18.06.15 01:43 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
derkleene derkleene ist männlich
Alternativ Mitglied


Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0

Antworten Zitieren Editieren Melden       UP

Admin Info: 1.0.1 behebt diese Sicherheitslücke

Nur zur Info an andere:

Habe mir 1min den Quelltext angeschaut (dabei nicht mal alles angeschaut), und bitte diesen Hack nicht einbauen.
SQL-Injection ist auch hier in diesem hack sehr schnell und ohne Probleme
möglich. da die übergebene Werte nicht gesichert sind.

__________________
---
Es grüßt
DerKleene
NeoTower
18.06.15 05:53 derkleene ist offline E-Mail WWW Finden Als Freund hinzufügen
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

Themenstarter Thema begonnen von Revolutionary Act
Antworten Zitieren Editieren Melden       UP

Das ist ja sehr interessant,
erklär das doch bitte mal ein bisschen genauer wo hier SQL-Injections möglich sind bzw. die Sicherheitslücken liegen. Augen rollen

lg
Revolutionary Act

__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
18.06.15 16:05 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
derkleene derkleene ist männlich
Alternativ Mitglied


Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0

Antworten Zitieren Editieren Melden       UP

Das sollte ein Programmierer der es kann, und sein Programm rüber schaut sofort erkennen.

Habe wie gesagt nicht alles nachgeschaut, nur 1 min in die Installationsanleitung, und da findest du es auch.

Bei: Zurückstupsen......

Schon trauig

__________________
---
Es grüßt
DerKleene
NeoTower
18.06.15 17:11 derkleene ist offline E-Mail WWW Finden Als Freund hinzufügen
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

Themenstarter Thema begonnen von Revolutionary Act
Antworten Zitieren Editieren Melden       UP

Meinst du etwa weil ich die Userid mir per GET hole und man da auch was anderes reinschreiben könnte?
Wenn du das meinst, wie könnte ich das (zusätzlich) "absichern" ?

lg
Revolutionary Act

__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
18.06.15 19:26 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
derkleene derkleene ist männlich
Alternativ Mitglied


Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0

Antworten Zitieren Editieren Melden       UP

JA das meine ich.
Und war ZUSÄTZLICH abfangen, diese ist NIRGENDWO abgefangen, nicht mal ansatzweise. böse böse

Nachdenken Augen rollen böse Wenn Du einen Hack programmierst, oder programmieren willst, dann sollte man sich schlau machen, was man da programmiert. Vor allem bevor man dies der Öffentlichkeit zugänglich macht. Oder jemanden zeigen der sich damit auskennt.

https://de.wikipedia.org/wiki/SQL-Injection

dort: Gegenmaßnahmen

unter PHP z.B. schauen, dort steht ein Bsp.
Aber wenn du in Deiner Install.txt schaust, lässt Du sogar nach einer Stelle suchen, wo das abgesichert worden ist.

__________________
---
Es grüßt
DerKleene
NeoTower
18.06.15 20:25 derkleene ist offline E-Mail WWW Finden Als Freund hinzufügen
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

Themenstarter Thema begonnen von Revolutionary Act
Antworten Zitieren Editieren Melden       UP

Ich hab den Anhang aktualisiert.
Nun sollte alles total sicher sein, wie ne Festung...

Aber was mich grad interessiert.
Wenn ich nun folgendes hätte im Code stehen:

code:
1:
2:
3:
4:
$get_something = $_REQUEST["something"];
$db->query("$get_something");


Dann würd ich die bedrohung ja verstehen.
Weil man so ja den Query quasi komplett selbst definieren kann und somit auch alles machen kann was man will...

ABER

Im Fall wie ich es bisher gelöst hatte könnte man doch eigentlich nur den Wert
der in die Spalte der DB eingetragen wird beeinflussen, oder nicht?
Also was ich mein, damit wären doch keine Bösartigen SQL-Injections machbar (gewesen), oder doch? ggf. was übersehe ich?

__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
19.06.15 03:56 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
derkleene derkleene ist männlich
Alternativ Mitglied


Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0

Antworten Zitieren Editieren Melden       UP

Warum habe ich wohl einen Link dazu geschrieben? Bestimmt nicht mal ansatzweise durchgelesen.
Schon traurig, das man dies zumindest nicht liest, wenn man es nicht versteht warum dies möglich ist.

Auszug aus der WIKI (gibt aber noch viel mehr was machen kann):
Zitat:
Ausspähen von Daten[Bearbeiten]
Auf manchen SQL-Implementationen ist die UNION-Klausel verfügbar. Diese erlaubt es, mehrere SELECTs gleichzeitig abzusetzen, die dann eine gemeinsame Ergebnismenge zurückliefern. Durch eine geschickt untergeschobene UNION-Klausel können beliebige Tabellen und Systemvariablen ausgespäht werden.

Erwarteter Aufruf
Aufruf http://webserver/cgi-bin/find.cgi?ID=42
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42;
SQL-Injection
Aufruf http://webserver/cgi-bin/find.cgi?ID=42+...gin,+password,+'x'+FROM+user
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42 UNION SELECT login, password, 'x' FROM user;
Das x beim UNION SELECT ist nötig, weil alle mit UNION verknüpften SELECTs die gleiche Anzahl von Spalten haben müssen. Der Angreifer kann die Anzahl der Spalten herausfinden, indem er ID=42 order by x-- anhängt. Wenn die Seite beispielsweise bei x = 8 normal lädt, aber bei x = 9 eine Fehlermeldung oder andere Seite zeigt, dann ist die Spaltenanzahl 8.

Ist der Datenbankserver fehlerhaft konfiguriert und hat beispielsweise ein aktuell mit der Datenbank verbundener Benutzer, über den die SQL-Injection abgesetzt werden soll, Zugriff auf Systemdatenbanken, so kann der Angreifer über eine einfache SQL-Syntax wie Systemdatenbank.SystemtabelleMitTabellenAuflistung auf die Systemtabellen zugreifen und sämtliche Tabellen einer bestimmten Datenbank auslesen. Dadurch kann er wichtige Informationen erhalten, um weitere Angriffe durchzuführen und tiefer in das System einzudringen.

Bei MySQL-Datenbanksystemen werden diese Systeminformationen in der Datenbank information_schema[1] verwaltet. Das nachfolgende Beispiel zeigt, wie bei einer Abfrage mit 3 Ergebnisspalten die Struktur sämtlicher zugreifbarer Datenbanken in Erfahrung gebracht werden kann.

Erwarteter Aufruf
Aufruf http://webserver/cgi-bin/find.cgi?ID=42
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42;
SQL-Injection
Aufruf http://webserver/cgi-bin/find.cgi?ID=42+UNION+SELECT+'Datenbank',+'Tabelle',+'Spalte'+
UNION+SELECT+table_schema,+table_name,+column_name+FROM+information_schema.
columns+
WHERE+NOT+table_schema='information_schema';#%20
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42 UNION SELECT 'Datenbank', 'Tabelle', 'Spalte'
UNION SELECT table_schema, table_name, column_name FROM information_schema.columns
WHERE NOT table_schema='information_schema';# ;
Einige Datenbanksysteme bieten weiterhin die Möglichkeit, Dateien über eine Anfrage zurückzugeben. Hierüber können in Kombination mit oben genannten Techniken und soweit der Pfad bekannt ist, beliebige Dateien, auf die der Datenbankprozess Zugriff hat, ausgelesen werden.


-- Posting Merged by Admin --

Hallo,

ihr solltet mal das forum anders einstellen.

Bin nur berechtig 30min lang meinen Beitrag zu editieren, aber darf da ich der letzte poster bin keinen neuen Beitrag schreiben, und soll editieren ????

Wie soll das denn gehen, wollte was nachtragen was mir aufgefallen ist.....

Seltsam Seltsam.....

Wegen Stupsen:
Zitat:
Zusätzlich können Gäste nun keine User mehr Anstupsen. (Bugfix)...

Also ich könnte wenn ich wollte als Gast immer noch Deine Datenbank vollspamen
mit irgendwelchen anstupsern.
Bitte nochmals bearbeiten. Danke.

__________________
---
Es grüßt
DerKleene
NeoTower
19.06.15 08:20 derkleene ist offline E-Mail WWW Finden Als Freund hinzufügen
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

Themenstarter Thema begonnen von Revolutionary Act
Antworten Zitieren Editieren Melden       UP

Hey,

Danke für das aufklärende Zitat.
Das wusste ich wirklich nicht.

Wegen dem "Ich kann als Gast immer noch die DB mit Stupsern vollspammen".
Das kannst du aber nicht über den Link im Profil sondern nur wenn du eben den "zurückstupsen" Link kennst.
Seh ich richtig oder hab ich wirklich was gravierendes übersehen?

ggf.
Werde ich in kürze ein Update veröffentlichen.

__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
21.06.15 19:32 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
Revolutionary Act
Ex Teammitglied

Dabei seit: 19.02.15
Beiträge: 268

Themenstarter Thema begonnen von Revolutionary Act
Antworten Zitieren Editieren Melden       UP

So das 1.0.2 Update ist raus.
Kann absofort gedownloaded werden. (In der DB.)

Nun sollten Gäste definitiv (auch über Umwege) nicht mehr Stupsen können.
Der Username ist nun Standartmäßig klickbar und leitet zum Profil des Stupsers weiter...

__________________
» Meine Erweiterungen

Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)

WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)

lg
Revolutionary Act
21.06.15 23:25 Revolutionary Act ist offline E-Mail Finden Als Freund hinzufügen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen

yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Hacks und Addons » User Anstupsen (Facebook Like)