ilch Forum » Allgemein » Plauder Ecke » Ist das auch möglich??

Geschlossen
  1. #1
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    Ich hab grad das gelesen und frag mich ob das auch auf ilch zutreffen kann. Also ob möglich Ilch eine SQL Injection zu verabreichen.


    externer Link


    verwendete ilchClan Version: 1.1

    betroffene Homepage: externer Link
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    sCoRpIoN Mitglied
    Registriert seit
    03.03.2005
    Beiträge
    1.883
    Beitragswertungen
    0 Beitragspunkte
    Schwachstellen und unerkannte Angriffsziele gibt es in jedem Script und wir wurden bei 1.05 auch auf eine SQL Injection-Lücke aufmerksam gemacht. Daraufhin hat Manuel sehr stark an der Sicherheit des Scriptes gearbeitet und viele Patches rausgebracht. Vorallem bei Vers. 1.1 hat er sehr viel Zeit in die Sicherheit investiert. Deshalb würde ich auch behaupten, dass 1.1 sicherer als 1.05 ist.

    mfg
    scorp
    free-design: externer Link

    --## externer Link ##--
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    sind mambo und joomla nicht lokale programme wie xampp,
    oder laufen die auch auf servern?

    kannst ja mal deinen provider fragen, was er für sql benutzt.
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    sCoRpIoN Mitglied
    Registriert seit
    03.03.2005
    Beiträge
    1.883
    Beitragswertungen
    0 Beitragspunkte
    @tyrargo: nein, joomla/mambo sind sehr ausgereifte und äußerst benutzerfreundliche cms bzw. portalsysteme; jedoch leider etwas zu aufgebläht;

    mfg
    scorp
    free-design: externer Link

    --## externer Link ##--
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    also brauche ich da keine große angst haben??
    find ich gut,
    und wenn er ja soo lange darn gesessen hat und die 1.1 von grund auf neu gemacht hat. können da ja keine ihm bekannten fehler mehr drin sein.

    mal etwas das sicherer als windoof ist^^
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    seju Mitglied
    Registriert seit
    24.10.2005
    Beiträge
    371
    Beitragswertungen
    1 Beitragspunkte
    @HeX
    es ist nicht schwer was sicherer zu machne als Windoof zunge
    "Weiter, weiter ins Verderben. Wir müssen leben bis wir sterben." - Ramstein
    externer Link
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Munky Mitglied
    Registriert seit
    12.05.2006
    Beiträge
    45
    Beitragswertungen
    0 Beitragspunkte
    Also. web105.cyberwebserver-12.de/esi2/ ist diesen Monat 2 x geownt worten.
    Troz änderung von alle Zugangsdaten.
    Sofern kann ich behaupten, dass es bei Mambo erhebliche Sicherheitslücken gibt.
    Was Ilch betrifft, habe ich bis dato keine Probleme feststelen können.
    Mahl abgesehen, davon, dass die Shoutbox und Gästemenue laufen zugespammt wird.


    Zuletzt modifiziert von Munky am 20.06.2006 - 19:34:24
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    Niedi Mitglied
    Registriert seit
    23.04.2006
    Beiträge
    340
    Beitragswertungen
    0 Beitragspunkte
    Das größte Problem ist ja leider, das dieses Script ja von jedem eingesehen werden kann, also Open Source ist, und somit sich jeder die Sicherheitslücken, fals vorhanden zusammensuchen kann.

    Aber selbst wenn jemand eine Sicherheitslücke finden sollte, und diese ausnutzt, wird das IlchTeam ja sofort da sein und es schließen, von daher denke ich nicht das es ein großes Problem sein sollte, wenn man regelmäßig Sicherheitskopieren macht.

    mfg
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    seth Mitglied
    Registriert seit
    12.03.2005
    Beiträge
    2.018
    Beitragswertungen
    1 Beitragspunkte
    nichts ist sicher. aber ilch hat schon ein gutes maß an sicherheit, vielmehr kann man bei php nun auch net machen. Eine Steigerung wäre sowas wie eBay, aber das muss man sich auch erstmal leisten können zwinker
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Doktrix Mitglied
    Registriert seit
    25.06.2006
    Beiträge
    17
    Beitragswertungen
    0 Beitragspunkte
    Wo wir hier von Sicherheit reden ..

    ..tach erstmal zusammen !!

    Ist es möglich es abzustellen, das Gäste anderen usern einfach eine Email schreiben können.
    Das halte ich nämlich für eine Sicherheitslücke !?


    lg - Doktrix
    Kämpf für Deine Stadt - CityClan
    Schau einfach mal rein ...externer Link
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    warum?? die bekommen nie die emailadresse desjeweiligen zu sehen, auch nicht im quelltext.

    aber du kannst einfach den link raus löschen der zur emailfuntion führt


    Zuletzt modifiziert von HeX am 25.06.2006 - 10:48:53
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Das kann doch jeder User selber einstellen im Profil ob er Emails erhalten will oder nicht?
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    stimmt auch wieder, also einfach in dein profil gehen und, email von aneren mitgliedern auf nein stellen.
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    ich habe jemanden gefunden der sich zur aufgabe gemacht hat sicherheitlücken in clan cms zu finden.

    und bisher ist er nur bei ilch 1.0.5 einmal fündig geworden^^

    blog.x128.net/?p=9
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  15. #15
    User Pic
    Doktrix Mitglied
    Registriert seit
    25.06.2006
    Beiträge
    17
    Beitragswertungen
    0 Beitragspunkte
    OK...irgendwo habt ihr auch recht.

    Es ging um den konkreten Fall ...das ein Gast ein User angeschrieben hat und versucht ClanMitglieder schlecht
    dastehen zu lassen ...

    Das habe ich nun unterbunden...ganz einfach ..mit Profiledit.
    Da können Gäste nicht mehr das Profil von Usern anschauen ;-)


    Wenn Du einen kennst der sich um Sicherheitslücken kümmert,
    weisst du bestimmt auch wer das Gästebuch bearbeitet..aber ich suche besser erst den richtigen Thread .

    Es geht um das @ im Gästebuch wenn man eine Mail schreiben will ;-)

    lg - Doktrix
    Kämpf für Deine Stadt - CityClan
    Schau einfach mal rein ...externer Link
    0 Mitglieder finden den Beitrag gut.
  16. #16
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    hab mal wieder was gefunden: psypointer.blogspot.com/

    erzeigt ein paar tricks wie man mithilfe von XSS und manipulierten links die seite ändern kann.

    wollt nur wissen ob mein ilch auch davor sicher ist^^
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  17. #17
    User Pic
    sCoRpIoN Mitglied
    Registriert seit
    03.03.2005
    Beiträge
    1.883
    Beitragswertungen
    0 Beitragspunkte
    generell ist man nie 100%ig gefeit gegen solche angriffe, aber manuel hat das script von den größten lücken befreit und hat deshalb ja auch $menu eingeführt:

    externer Link

    zusätzlich zu $menu werden im original 1.1 auch alle übergebenen daten nochmals spezifisch geprüft, bevor diese weiterverwendet werden. deshalb bin ich mir sehr sicher, dass von user-eigenen-modulen mehr risiken als vom eigentlichen script ausgehen;

    mfg
    scorp
    free-design: externer Link

    --## externer Link ##--
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Plauder Ecke

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten