Ich hab grad das gelesen und frag mich ob das auch auf ilch zutreffen kann. Also ob möglich Ilch eine SQL Injection zu verabreichen.
externer Link
verwendete ilchClan Version: 1.1
betroffene Homepage: externer Link
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Allgemein » Plauder Ecke » Ist das auch möglich??
| Geschlossen | ||
-
Di. 20.06.2006
14:11 Uhr
#1
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
Discite moniti!
www.pixelbash.de -
Di. 20.06.2006
14:29 Uhr
#2
- Registriert seit
- 03.03.2005
- Beiträge
- 1.883
- Beitragswertungen
Schwachstellen und unerkannte Angriffsziele gibt es in jedem Script und wir wurden bei 1.05 auch auf eine SQL Injection-Lücke aufmerksam gemacht. Daraufhin hat Manuel sehr stark an der Sicherheit des Scriptes gearbeitet und viele Patches rausgebracht. Vorallem bei Vers. 1.1 hat er sehr viel Zeit in die Sicherheit investiert. Deshalb würde ich auch behaupten, dass 1.1 sicherer als 1.05 ist.
mfg
scorp -
Di. 20.06.2006
14:30 Uhr
#3
- Registriert seit
- 30.01.2006
- Beiträge
- 5.541
- Beitragswertungen
sind mambo und joomla nicht lokale programme wie xampp,
oder laufen die auch auf servern?
kannst ja mal deinen provider fragen, was er für sql benutzt. -
Di. 20.06.2006
14:32 Uhr
#4
- Registriert seit
- 03.03.2005
- Beiträge
- 1.883
- Beitragswertungen
@tyrargo: nein, joomla/mambo sind sehr ausgereifte und äußerst benutzerfreundliche cms bzw. portalsysteme; jedoch leider etwas zu aufgebläht;
mfg
scorp -
Di. 20.06.2006
14:35 Uhr
#5
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
also brauche ich da keine große angst haben??
find ich gut,
und wenn er ja soo lange darn gesessen hat und die 1.1 von grund auf neu gemacht hat. können da ja keine ihm bekannten fehler mehr drin sein.
mal etwas das sicherer als windoof ist^^Discite moniti!
www.pixelbash.de -
@HeX
es ist nicht schwer was sicherer zu machne als Windoof
-
Also. web105.cyberwebserver-12.de/esi2/ ist diesen Monat 2 x geownt worten.
Troz änderung von alle Zugangsdaten.
Sofern kann ich behaupten, dass es bei Mambo erhebliche Sicherheitslücken gibt.
Was Ilch betrifft, habe ich bis dato keine Probleme feststelen können.
Mahl abgesehen, davon, dass die Shoutbox und Gästemenue laufen zugespammt wird.
Zuletzt modifiziert von Munky am 20.06.2006 - 19:34:24 -
Das größte Problem ist ja leider, das dieses Script ja von jedem eingesehen werden kann, also Open Source ist, und somit sich jeder die Sicherheitslücken, fals vorhanden zusammensuchen kann.
Aber selbst wenn jemand eine Sicherheitslücke finden sollte, und diese ausnutzt, wird das IlchTeam ja sofort da sein und es schließen, von daher denke ich nicht das es ein großes Problem sein sollte, wenn man regelmäßig Sicherheitskopieren macht.
mfg -
Mi. 21.06.2006
13:49 Uhr
#9
- Registriert seit
- 12.03.2005
- Beiträge
- 2.018
- Beitragswertungen
nichts ist sicher. aber ilch hat schon ein gutes maß an sicherheit, vielmehr kann man bei php nun auch net machen. Eine Steigerung wäre sowas wie eBay, aber das muss man sich auch erstmal leisten können
-
So. 25.06.2006
10:39 Uhr
#10
- Registriert seit
- 25.06.2006
- Beiträge
- 17
- Beitragswertungen
Wo wir hier von Sicherheit reden ..
..tach erstmal zusammen !!
Ist es möglich es abzustellen, das Gäste anderen usern einfach eine Email schreiben können.
Das halte ich nämlich für eine Sicherheitslücke !?
lg - Doktrix -
So. 25.06.2006
10:48 Uhr
#11
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
warum?? die bekommen nie die emailadresse desjeweiligen zu sehen, auch nicht im quelltext.
aber du kannst einfach den link raus löschen der zur emailfuntion führt
Zuletzt modifiziert von HeX am 25.06.2006 - 10:48:53Discite moniti!
www.pixelbash.de -
So. 25.06.2006
10:51 Uhr
#12
- Registriert seit
- 24.08.2004
- Beiträge
- 10.192
- Beitragswertungen
Das kann doch jeder User selber einstellen im Profil ob er Emails erhalten will oder nicht?Omnia bona erunt
-
So. 25.06.2006
10:58 Uhr
#13
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
stimmt auch wieder, also einfach in dein profil gehen und, email von aneren mitgliedern auf nein stellen.Discite moniti!
www.pixelbash.de -
Sa. 01.07.2006
14:38 Uhr
#14
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
ich habe jemanden gefunden der sich zur aufgabe gemacht hat sicherheitlücken in clan cms zu finden.
und bisher ist er nur bei ilch 1.0.5 einmal fündig geworden^^
blog.x128.net/?p=9Discite moniti!
www.pixelbash.de -
Sa. 29.07.2006
15:26 Uhr
#15
- Registriert seit
- 25.06.2006
- Beiträge
- 17
- Beitragswertungen
OK...irgendwo habt ihr auch recht.
Es ging um den konkreten Fall ...das ein Gast ein User angeschrieben hat und versucht ClanMitglieder schlecht
dastehen zu lassen ...
Das habe ich nun unterbunden...ganz einfach ..mit Profiledit.
Da können Gäste nicht mehr das Profil von Usern anschauen ;-)
Wenn Du einen kennst der sich um Sicherheitslücken kümmert,
weisst du bestimmt auch wer das Gästebuch bearbeitet..aber ich suche besser erst den richtigen Thread .
Es geht um das @ im Gästebuch wenn man eine Mail schreiben will ;-)
lg - Doktrix -
Mo. 04.09.2006
21:54 Uhr
#16
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
hab mal wieder was gefunden: psypointer.blogspot.com/
erzeigt ein paar tricks wie man mithilfe von XSS und manipulierten links die seite ändern kann.
wollt nur wissen ob mein ilch auch davor sicher ist^^Discite moniti!
www.pixelbash.de -
Do. 07.09.2006
13:49 Uhr
#17
- Registriert seit
- 03.03.2005
- Beiträge
- 1.883
- Beitragswertungen
generell ist man nie 100%ig gefeit gegen solche angriffe, aber manuel hat das script von den größten lücken befreit und hat deshalb ja auch $menu eingeführt:
externer Link
zusätzlich zu $menu werden im original 1.1 auch alle übergebenen daten nochmals spezifisch geprüft, bevor diese weiterverwendet werden. deshalb bin ich mir sehr sicher, dass von user-eigenen-modulen mehr risiken als vom eigentlichen script ausgehen;
mfg
scorp
| Geschlossen | ||
 |
Zurück zu Plauder Ecke | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten