ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Sicherheitslücke und TrafficKlau???

Geschlossen
  1. Di. 03.01.2006 11:41 Uhr #1
    User Pic
    lupo Mitglied
    Registriert seit
    03.01.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Hi,
    ich weis nicht ob das schon bekannt ist, aber ich hab heute mal zum Fun nach "CLanluder" Pics gesucht und mir ist aufgefallen das alle Seiten die mit dem ilch-Script laufen "Browsable" sind, d.h. man kann bequem in allen Verzeichnissen eines Clan's rumsuchen.

    Testet es mal selbst:
    www.EURE_HOMEPAGE.de/include/images/pics
    oder
    www.EURE_HOMEPAGE.de/include/admin

    etc, das geht mit allen Unterverzeichnissen des ilch-Clanscripts.

    @ Autor, NEIN das ist keine Kritik, sondern NUR ein wichtiger Hinweis.

    So, und hier die Abhilfe, die Du ggf gleich mit einbauen kannst @Autor zwinker

    erstellt in jedem Verzeichnis eine "index.php" die ihr mit folgendem code auffüllt: 


    <?php header ("location: ../index.php"); exit(); ?>

    Achtung:
    Nicht im ilch hauptverzeichnis reinkopieren, sonst überschreibt Ihr die standard ilch index.php !!!

    somit ist sichergestellt, das die Leute sofort auf Eure Startseite landen und NICHT in irgendwelchen Verzeichnissen!

    Mfg
    Lupo
    PS: bin neu hier bei Euch, vielleicht werd ich ja auch alt zwinker


    Zuletzt geändert von lupo am 03.01.2006 - 11:57



    Zuletzt geändert von lupo am 03.01.2006 - 12:11
    Wenn Du mit dem Rücken zur Wand stehst, kann es nur vorwärts gehen...
    0 Mitglieder finden den Beitrag gut.
  2. Di. 03.01.2006 11:47 Uhr #2
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    schockiert hab mal bei ein paar Seiten getestet und es geht aber nicht bei allen.
    zb: clan.hawu.net/include/ geht nicht :-)
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  3. Di. 03.01.2006 11:59 Uhr #3
    User Pic
    lupo Mitglied
    Registriert seit
    03.01.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Na toll, dann kommt eine Fehlermeldung vom Server, statt das man auf die Startseite kommt.
    Da ist doch zu 100% klar das die Leute den Browser schliessen oder zu ner anderen Adresse gehen....

    's hatte schon einen Sinn warum ich das postete....
    mit meinem obigen Tipp kommt Ihr wenigstens auf die Startseite des Clan's, oder was auch immer mit dem iLCH script gebastelt wurde lächeln

    Gruss Lupo


    Zuletzt geändert von lupo am 03.01.2006 - 12:01
    Wenn Du mit dem Rücken zur Wand stehst, kann es nur vorwärts gehen...
    0 Mitglieder finden den Beitrag gut.
  4. Di. 03.01.2006 12:01 Uhr #4
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Also bei mir geht das auch nicht... und eine weiter leitung bei mir reinzubauen wäre auch einfach ^^
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  5. Di. 03.01.2006 12:02 Uhr #5
    User Pic
    lupo Mitglied
    Registriert seit
    03.01.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    @SLJ, bei Dir geht das..

    guckst Du
    externer Link
    Wenn Du mit dem Rücken zur Wand stehst, kann es nur vorwärts gehen...
    0 Mitglieder finden den Beitrag gut.
  6. Di. 03.01.2006 12:03 Uhr #6
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    dann habe ich mich wohl im ordner name vertippt ^^

    Edit: Was habe ich davon wenn jemand meine dateien anschaut ? kopieren kann er ja eh nchst bzw. nicht mehr als er eh könnte !

    mfg
    SLJ


    Zuletzt geändert von SLJ am 03.01.2006 - 12:04
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  7. Di. 03.01.2006 12:05 Uhr #7
    User Pic
    lupo Mitglied
    Registriert seit
    03.01.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Habe mal ne TestSeite eingerichtet.. testet mal hier

    bigben192.housing4free.de/~shootingserver/

    (bis auf die Design's sollte alles wieder auf die Startseite der Seite leiten)
    Wenn Du mit dem Rücken zur Wand stehst, kann es nur vorwärts gehen...
    0 Mitglieder finden den Beitrag gut.
  8. Di. 03.01.2006 12:38 Uhr #8
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    Ist mir ja egal wenn eine Fehlermeldung kommt wen jemand versucht den Ordner include aufzurufen ^^
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  9. Di. 03.01.2006 12:41 Uhr #9
    User Pic
    lux Mitglied
    Registriert seit
    18.09.2005
    Beiträge
    1.860
    Beitragswertungen
    0 Beitragspunkte
    solang man nicht die config lesen kann is doch alles sicher. und wenn man die config aufrufen will kommt ja nur ne leere seite, also nützt das ja nix
    externer Link
    das passiert, wenn ich designe glücklich
    0 Mitglieder finden den Beitrag gut.
  10. Di. 03.01.2006 12:48 Uhr #10
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    auch php codes kann man nicht klauen ^^
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  11. Di. 03.01.2006 12:51 Uhr #11
    User Pic
    lux Mitglied
    Registriert seit
    18.09.2005
    Beiträge
    1.860
    Beitragswertungen
    0 Beitragspunkte
    drum kommt ja ne leere seite..
    externer Link
    das passiert, wenn ich designe glücklich
    0 Mitglieder finden den Beitrag gut.
  12. Di. 03.01.2006 12:56 Uhr #12
    User Pic
    wosnah gelöschter User
    das hat nicht direkt was mit dem script zu tun. wenn der hoster die verzeichnisse auflisten lässt ist das schon zielich schlimm zwinker

    trotzdem sollte es eingebaut werden, weil wenn man die fehler anderer durch das script beheben kann, warum nicht.

    davon mal abgesehen ist es relativ egal ob die seite jetzt durchsuchbar ist oder nicht, bei einem opensource script was sich jeder runter laden kann, sind die dateinamen eh bekannt...

    aber in den gängingen ordner wäre so eine datei sicherlich gut.
    0 Mitglieder finden den Beitrag gut.
  13. Di. 03.01.2006 14:39 Uhr #13
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    kann man eigentlich eine Datei von einem Anderen Server includen und ev. auslesen? Hab es nur kurz getestet und nicht geschaft...
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  14. Di. 03.01.2006 16:30 Uhr #14
    User Pic
    lupo Mitglied
    Registriert seit
    03.01.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Hi s_down,

    es wäre nur gegangen, wenn die im httpd.conf den mimetype .phps an das application/php-source gehängt hätten.
    Da das nicht der fall zu sein scheint, kommst du nicht ran, ausser du findest bei denen auf der website irgendwo ein php-script mit einem sicherheitsleck zwinker

    Gruss Lupo

    Wenn Du mit dem Rücken zur Wand stehst, kann es nur vorwärts gehen...
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten