 User Anstupsen (Facebook Like) |
|
|
Titel: User Anstupsen (Facebook Like)
Version: 1.0.2
Beschreibung:
Hi,
Erstmal Sorry das ich in letzter Zeit inaktiv war aber ich habe relativ viel um die Ohren.
Als Entschuldigung hier mal ein kleiner Hack. 
Viele kennen diese Funktion warscheinlich aus Facebook.
Man kann jemanden Anstupsen und der kann dann zurückstupsen. Ziemlich lustige Funktion, auch nützlich gegen Langeweile... 
Update 1.0.1
- Behebt eine Sicherheitslücke die derkleene gefunden hatte.
Update 1.0.2
- Macht den Usernamen des Stupsers Klickbar (leitet zu dessen Profil weiter).
- Behebt den Bug das Gäste ebenfalls Stupsen konnten.
----
weiter zum Download
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
18.06.15 01:43 |
E-Mail
Finden
Als Freund hinzufügen
|
|
derkleene 
Alternativ Mitglied
Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0
 |
|
Admin Info: 1.0.1 behebt diese Sicherheitslücke
Nur zur Info an andere:
Habe mir 1min den Quelltext angeschaut (dabei nicht mal alles angeschaut), und bitte diesen Hack nicht einbauen.
SQL-Injection ist auch hier in diesem hack sehr schnell und ohne Probleme
möglich. da die übergebene Werte nicht gesichert sind.
__________________
---
Es grüßt
DerKleene
NeoTower
|
|
|
18.06.15 05:53 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
|
Das ist ja sehr interessant,
erklär das doch bitte mal ein bisschen genauer wo hier SQL-Injections möglich sind bzw. die Sicherheitslücken liegen. 
lg
Revolutionary Act
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
|
18.06.15 16:05 |
E-Mail
Finden
Als Freund hinzufügen
|
|
derkleene
Alternativ Mitglied
Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0
|
|
Das sollte ein Programmierer der es kann, und sein Programm rüber schaut sofort erkennen.
Habe wie gesagt nicht alles nachgeschaut, nur 1 min in die Installationsanleitung, und da findest du es auch.
Bei: Zurückstupsen......
Schon trauig
__________________
---
Es grüßt
DerKleene
NeoTower
|
|
|
18.06.15 17:11 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
|
Meinst du etwa weil ich die Userid mir per GET hole und man da auch was anderes reinschreiben könnte?
Wenn du das meinst, wie könnte ich das (zusätzlich) "absichern" ?
lg
Revolutionary Act
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
|
18.06.15 19:26 |
E-Mail
Finden
Als Freund hinzufügen
|
|
derkleene
Alternativ Mitglied
Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0
|
|
JA das meine ich.
Und war ZUSÄTZLICH abfangen, diese ist NIRGENDWO abgefangen, nicht mal ansatzweise. 
Wenn Du einen Hack programmierst, oder programmieren willst, dann sollte man sich schlau machen, was man da programmiert. Vor allem bevor man dies der Öffentlichkeit zugänglich macht. Oder jemanden zeigen der sich damit auskennt.
https://de.wikipedia.org/wiki/SQL-Injection
dort: Gegenmaßnahmen
unter PHP z.B. schauen, dort steht ein Bsp.
Aber wenn du in Deiner Install.txt schaust, lässt Du sogar nach einer Stelle suchen, wo das abgesichert worden ist.
__________________
---
Es grüßt
DerKleene
NeoTower
|
|
|
18.06.15 20:25 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
|
Ich hab den Anhang aktualisiert.
Nun sollte alles total sicher sein, wie ne Festung...
Aber was mich grad interessiert.
Wenn ich nun folgendes hätte im Code stehen:
| code: |
1:
2:
3:
4:
|
$get_something = $_REQUEST["something"];
$db->query("$get_something");
|
|
Dann würd ich die bedrohung ja verstehen.
Weil man so ja den Query quasi komplett selbst definieren kann und somit auch alles machen kann was man will...
ABER
Im Fall wie ich es bisher gelöst hatte könnte man doch eigentlich nur den Wert
der in die Spalte der DB eingetragen wird beeinflussen, oder nicht?
Also was ich mein, damit wären doch keine Bösartigen SQL-Injections machbar (gewesen), oder doch? ggf. was übersehe ich?
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
|
19.06.15 03:56 |
E-Mail
Finden
Als Freund hinzufügen
|
|
derkleene
Alternativ Mitglied
Dabei seit: 28.08.06
Beiträge: 181
Fähigkeiten: WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: Niedersachsen
Forenversion: Lite 1.0
|
|
Warum habe ich wohl einen Link dazu geschrieben? Bestimmt nicht mal ansatzweise durchgelesen.
Schon traurig, das man dies zumindest nicht liest, wenn man es nicht versteht warum dies möglich ist.
Auszug aus der WIKI (gibt aber noch viel mehr was machen kann):
| Zitat: |
Ausspähen von Daten[Bearbeiten]
Auf manchen SQL-Implementationen ist die UNION-Klausel verfügbar. Diese erlaubt es, mehrere SELECTs gleichzeitig abzusetzen, die dann eine gemeinsame Ergebnismenge zurückliefern. Durch eine geschickt untergeschobene UNION-Klausel können beliebige Tabellen und Systemvariablen ausgespäht werden.
Erwarteter Aufruf
Aufruf http://webserver/cgi-bin/find.cgi?ID=42
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42;
SQL-Injection
Aufruf http://webserver/cgi-bin/find.cgi?ID=42+...gin,+password,+'x'+FROM+user
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42 UNION SELECT login, password, 'x' FROM user;
Das x beim UNION SELECT ist nötig, weil alle mit UNION verknüpften SELECTs die gleiche Anzahl von Spalten haben müssen. Der Angreifer kann die Anzahl der Spalten herausfinden, indem er ID=42 order by x-- anhängt. Wenn die Seite beispielsweise bei x = 8 normal lädt, aber bei x = 9 eine Fehlermeldung oder andere Seite zeigt, dann ist die Spaltenanzahl 8.
Ist der Datenbankserver fehlerhaft konfiguriert und hat beispielsweise ein aktuell mit der Datenbank verbundener Benutzer, über den die SQL-Injection abgesetzt werden soll, Zugriff auf Systemdatenbanken, so kann der Angreifer über eine einfache SQL-Syntax wie Systemdatenbank.SystemtabelleMitTabellenAuflistung auf die Systemtabellen zugreifen und sämtliche Tabellen einer bestimmten Datenbank auslesen. Dadurch kann er wichtige Informationen erhalten, um weitere Angriffe durchzuführen und tiefer in das System einzudringen.
Bei MySQL-Datenbanksystemen werden diese Systeminformationen in der Datenbank information_schema[1] verwaltet. Das nachfolgende Beispiel zeigt, wie bei einer Abfrage mit 3 Ergebnisspalten die Struktur sämtlicher zugreifbarer Datenbanken in Erfahrung gebracht werden kann.
Erwarteter Aufruf
Aufruf http://webserver/cgi-bin/find.cgi?ID=42
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42;
SQL-Injection
Aufruf http://webserver/cgi-bin/find.cgi?ID=42+UNION+SELECT+'Datenbank',+'Tabelle',+'Spalte'+
UNION+SELECT+table_schema,+table_name,+column_name+FROM+information_schema.
columns+
WHERE+NOT+table_schema='information_schema';#%20
Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42 UNION SELECT 'Datenbank', 'Tabelle', 'Spalte'
UNION SELECT table_schema, table_name, column_name FROM information_schema.columns
WHERE NOT table_schema='information_schema';# ;
Einige Datenbanksysteme bieten weiterhin die Möglichkeit, Dateien über eine Anfrage zurückzugeben. Hierüber können in Kombination mit oben genannten Techniken und soweit der Pfad bekannt ist, beliebige Dateien, auf die der Datenbankprozess Zugriff hat, ausgelesen werden. |
-- Posting Merged by Admin --
Hallo,
ihr solltet mal das forum anders einstellen.
Bin nur berechtig 30min lang meinen Beitrag zu editieren, aber darf da ich der letzte poster bin keinen neuen Beitrag schreiben, und soll editieren ????
Wie soll das denn gehen, wollte was nachtragen was mir aufgefallen ist.....
Seltsam Seltsam.....
Wegen Stupsen:
| Zitat: |
| Zusätzlich können Gäste nun keine User mehr Anstupsen. (Bugfix)... |
Also ich könnte wenn ich wollte als Gast immer noch Deine Datenbank vollspamen
mit irgendwelchen anstupsern.
Bitte nochmals bearbeiten. Danke.
__________________
---
Es grüßt
DerKleene
NeoTower
|
|
|
19.06.15 08:20 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
|
Hey,
Danke für das aufklärende Zitat.
Das wusste ich wirklich nicht.
Wegen dem "Ich kann als Gast immer noch die DB mit Stupsern vollspammen".
Das kannst du aber nicht über den Link im Profil sondern nur wenn du eben den "zurückstupsen" Link kennst.
Seh ich richtig oder hab ich wirklich was gravierendes übersehen?
ggf.
Werde ich in kürze ein Update veröffentlichen.
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
|
21.06.15 19:32 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
|
So das 1.0.2 Update ist raus.
Kann absofort gedownloaded werden. (In der DB.)
Nun sollten Gäste definitiv (auch über Umwege) nicht mehr Stupsen können.
Der Username ist nun Standartmäßig klickbar und leitet zum Profil des Stupsers weiter...
__________________
» Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
|
21.06.15 23:25 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
