invis!ble
jop die findest du meistens im "log" ordner von deinem server / space auf gleicher ebene mit dem "html" ordner
JaY^JaY
Jedes WBB bis auf die neuen Versionen die vor paar Tagen raus gekommen sind ist durch einen exploit "angreifbar". Der Exploit gibt den md5 hash deines Passworts der mittels eines md5cracker geckrackt wird.
Empfiehlt wird:
- auf die neuen wbb versionen Updaten. (Muss man nicht wirklich, wenn dann nur die neue änderung in der register.php denn darüber holt der exploit den md5 hash. Wenn die Regestrierung deaktiviert ist, ist es ebenso nicht möglich an den md5 Hash zu kommen.
- Kein Passwort was nur aus zahlen besteht da es in 10 sekunden crackbar ist.
- Ein Passwort was mindestens 8-9 stellen hat und aus Zahlen/Buchstaben und Zeichen besteht, das kann dauern bis das gecrackt wird bis zu 1 woche oder mehr
.
Fireman2005
Hi
@ JaY^JaY
Gibt es da nicht irgendwo einen Hackt der das mit dem md5 Hash verschlüsselt.
Denke ich habe das irgengwo gelesen und würde das was bringen.
mfg
nibble
| Zitat: |
Original von Fireman2005
Hi
@ JaY^JaY
Gibt es da nicht irgendwo einen Hackt der das mit dem md5 Hash verschlüsselt.
Denke ich habe das irgengwo gelesen und würde das was bringen.
mfg |
md5 ist eine Hash-Funktion, keine Verschlüsselung. Du solltest dir zuerst kryptographische Grundroutinen zu Gemüte führen, bevor du mit Fachwörtern um dich wirfst.
Was genau soll denn dieser Hack können?
Fireman2005
Hi
wenn ich ein spezialist wäre wüsste ich das.
der hack soll die ganzen hash nochmals verschlüsseln,so das man nix damit anfabgen kann.
ja du hast recht ich kenn mich hier net aus,aber ich habe keine lust das irgend wer mein board lahm legt.und das ist möglich ich habe es selber gesehen,die können es down legen.
mfg
nibble
Fireman2005: Hast du genauere Informationen zu dem von dir angesprochenen Hack?
Fireman2005
Wenn ich das hätte,wäre ein link und die beschreibung dabei aber ich habe doch gesagt:
Das ich es nur gelesen habe und das es sowas gibt,vielleicht kennt ihn ja jemand und dessen funktion.
mfg
Yoshi
laut einer info auf moins.de soll es helfen den acp ordner via htaccess zu schützen.. sollte eigentlich eh jeder machen..
interesannt wäre jetzt zu wissen ob dein acp damit geschützt war
nibble
| Zitat: |
Original von Yoshi
laut einer info auf moins.de soll es helfen den acp ordner via htaccess zu schützen.. sollte eigentlich eh jeder machen.. |
Das hilft auch nur weiter, wenn die Authentifizierungsdaten für den HTACCESS-Schutz nicht mit denen aus der MySQL-Datenbank abgeglichen wurden (sprich andere Passwörter verwendet), denn ansonsten ist es ja ein leichtest die schon bekannten Daten einzugeben
mor_dark
um admin im forum zu werden muss das der md5 hash nichtmal entschlüsselt werden
daher ist ein htacces das sicherste
(-;
es ist zwar in jedem fall sinvoll gescheite passwörter zu nehmen aber das allein reicht nicht aus (-;
Tigra
Leute, was brint es denn wenn ich hier 3 - 4 - 5 mal lese "Ich weiss, ich hab, ich kann....."
Mensch, dann rückt raus mit der Sprache wie es geht, sagts Burntime und helft damit der kompletten Community die WBB`s sicherer zu machen, aber Eure Geheimnistuerei nützt hier niemandem und solange mich nicht jemand vom Gegenteil überzeugt hat, glaube ich sowieso das 90% der Ausagen like "Ich kann das auch bla bla" einfach wichtigtuerische Dummschwätzerei sind.
Tschööö mit ö
PyroGX
| Zitat: |
Original von hammond00
ich misch mich nur ungern ein, aber ich kenn auch sql injections von denen woltlab nichts weiß... :doof |
wenn du welche kennst solltest du sie per email an woltlab melden
was ist daran so toll wenn du einer der wenigen bist die diese lücken kennen und sie nicht verrätst?
kommste dir dann toll vor?
tuhe der community den gefallen und melde die sicherheitslücke umgehend an woltlab
Alluidh
Geben wir Tigra einmal Recht (mit Recht) und denken dann weiter, dass es langsam an der Zeit wäre, das WBB zu verlassen, um nicht in den kindischen Teil der wilden Script Kids eingeordnet zu werden ...
Wenn ich den ganzen langen Tag nur lese welche Boards wann und von wem wieder alles gehackt wurden und ständig der Tenor mehr in Richtung "Ich weiss was das du nicht weisst" geht. macht die WBB Community echt keinen Spass mehr
mor_dark
| Zitat: |
| Wenn ich den ganzen langen Tag nur lese welche Boards wann und von wem wieder alles gehackt wurden und ständig der Tenor mehr in Richtung "Ich weiss was das du nicht weisst" geht. macht die WBB Community echt keinen Spass mehr |
so schauts aus ist aber elider schon nen kiddie board geworden )-;
Alluidh
Ahhh ... wenn man die Buchstaben mischt wird ein Satz drauss ...
Ja, es ist Schade wohin das WBB bisher verkommen ist und wohin es noch verkommt
Tigra
| Zitat: |
Original von Alluidh
Geben wir Tigra einmal Recht (mit Recht) und denken dann weiter, dass es langsam an der Zeit wäre, das WBB zu verlassen, um nicht in den kindischen Teil der wilden Script Kids eingeordnet zu werden ...
Wenn ich den ganzen langen Tag nur lese welche Boards wann und von wem wieder alles gehackt wurden und ständig der Tenor mehr in Richtung "Ich weiss was das du nicht weisst" geht. macht die WBB Community echt keinen Spass mehr |
Das unterschreib ich zu 100%, blind wenn sein muss.
Warum wohl hab ich mich weitestgehend zurückgezogen...... Bock hab ich nach wie vor, aber ich bin halt eben schon erwachsener geworden ( auch wenn ich mich oft nicht so benehme ).
Samwan
| Zitat: |
Original von mor_dark
so schauts aus ist aber elider schon nen kiddie board geworden )-; |
Und du bist der Anführer aller Kiddies.
hammond00
| Zitat: |
Original von Pyrogx
| Zitat: |
Original von hammond00
ich misch mich nur ungern ein, aber ich kenn auch sql injections von denen woltlab nichts weiß... :doof |
wenn du welche kennst solltest du sie per email an woltlab melden
was ist daran so toll wenn du einer der wenigen bist die diese lücken kennen und sie nicht verrätst?
kommste dir dann toll vor?
tuhe der community den gefallen und melde die sicherheitslücke umgehend an woltlab |
jut... is erledigt. aber was an woltlab scheiße is, is, dass man keine "belohnung" dafür bekommt. nur ein danke - das wars. die könnten ja immerhin ne lizenz springen lassen...
das hier is auch ein nettes sicherheitsloch:
http://www.securiteam.com/unixfocus/5BP0B20FPA.html
Tigra
| Zitat: |
Original von hammond00
jut... is erledigt. aber was an woltlab scheiße is, is, dass man keine "belohnung" dafür bekommt. nur ein danke - das wars. die könnten ja immerhin ne lizenz springen lassen...
das hier is auch ein nettes sicherheitsloch: http://www.securiteam.com/unixfocus/5BP0B20FPA.html |
Sorry aber....
:doof
Was denn für eine Belohnung?
Ok, da ist ein Sicherheitsloch, Du kannst für Dich behalten wie man durchkommt oder es melden.
meldest Du es gibts ein "Danke" und ein Bugfix, meldest Du es nicht kriegst Du nichtmal ein Danke, weil irgendwer wirds irgendwann herausfinden und melden und gut istst.
warum erwartet heutzutage immer jeder einen Gegenleistung für eine Gefälligkeit oder eine Information?
hammond00
| Zitat: |
Original von Tigra
[...]
warum erwartet heutzutage immer jeder einen Gegenleistung für eine Gefälligkeit oder eine Information? |
weil die konkurrenz (Jelsoft) ne Lizenz springen lässt.
