onkel_fisch
Hi,
sorry weiß leider nicht in welches Forum ich das Packen soll, aber da gerade hier so viel zu diesme Thema ist schreibe ichs mal hierhin, ein Mod kanns ja dann verschieben.
habe einen kleinen Hack entworfen. Habe es auf einem wBB 2.1.6 getestet, dürfte aber auch in den meisten Versionen drunter und drüber funktionieren, da sich an den FUnktionen nichts grundlegendes geändert hat.
Die einzige möglichkeit wie sich nun noch ein Angreifer zugriff auf den Useraccount besorgen könnte, währe das er das Cookie des User stiehlt. Dazu muss er aber eine XSS Lücke auf dem Server ausnutzen.
Anleitung und Installationsdatei im Anhang. Es kann sein das wenn ihr in einem Editor die suchen Funktion nutz, ihr nichts findet, das liegt daran das bei den verschiedene wbb-versionen mal leerzeichen nach einem if sind und manchmal nicht. Versucht einfach die zu suchende Zeile so mit dem bloßen Auge zu finden, mir hat oft ein eifnaches suchen nach "md5" geholfen und ich kam zu der gewünschten Zeile.
Ich erbitte um Feedback und Bugreports.
Download: http://www.
Mfg
onkel_fisch
sorry weiß leider nicht in welches Forum ich das Packen soll, aber da gerade hier so viel zu diesme Thema ist schreibe ichs mal hierhin, ein Mod kanns ja dann verschieben.
habe einen kleinen Hack entworfen. Habe es auf einem wBB 2.1.6 getestet, dürfte aber auch in den meisten Versionen drunter und drüber funktionieren, da sich an den FUnktionen nichts grundlegendes geändert hat.
- Mehrfachverschlüsselung der Passwort mit einem Zufalls-Salt, sodass ihr Passwort nicht gecrackt werden kann (mit der größe des Saltes und der Mehrfachverschlüsselung würde das Cracken mehrere Millionen Jahre brauchen).
- Cookie-Hashes werden mit einem Salt berechnet, sodass ein Angreifer sich nicht mit dem Hash aus der Datenbank in ihren Account einloggen kann
Die einzige möglichkeit wie sich nun noch ein Angreifer zugriff auf den Useraccount besorgen könnte, währe das er das Cookie des User stiehlt. Dazu muss er aber eine XSS Lücke auf dem Server ausnutzen.
Anleitung und Installationsdatei im Anhang. Es kann sein das wenn ihr in einem Editor die suchen Funktion nutz, ihr nichts findet, das liegt daran das bei den verschiedene wbb-versionen mal leerzeichen nach einem if sind und manchmal nicht. Versucht einfach die zu suchende Zeile so mit dem bloßen Auge zu finden, mir hat oft ein eifnaches suchen nach "md5" geholfen und ich kam zu der gewünschten Zeile.
Ich erbitte um Feedback und Bugreports.
Download: http://www.
Mfg
onkel_fisch
.
