ilch Forum » Ilch Clan 1.1 » Kritik und Verbesserungen » script total unsicher

Geschlossen
  1. #31
    User Pic
    Wega Mitglied
    Registriert seit
    26.12.2006
    Beiträge
    95
    Beitragswertungen
    0 Beitragspunkte
    Naja....ich mache z.B. nicht jeden Tag ne Sicherung über das Backup im Adminbereich. (sollte ich vielleicht zwinker )

    Aber man könnte sich etwas Arbeit ersparen, wenn es ne Hintertür gibt, womit man z.B. nur in die Userverwaltung kommt.

    Wie wird denn eigentlich das Update aussehen?
    Reicht es da, wenn man da paar Dateien austauscht?
    Denn bei dem Update von 1.1C auf 1.1D war bei mir kurzzeitig alles im Eimer. Da scheu ich bissl vor einem weiteren Update.

    Mfg

    @Wega
    0 Mitglieder finden den Beitrag gut.
  2. #32
    User Pic
    boehserdavid Mitglied
    Registriert seit
    26.08.2006
    Beiträge
    2.122
    Beitragswertungen
    2 Beitragspunkte
    Jetzt mal ne Frage von mir!

    Wenn ich im AdminMenu unter Konfiguration -> Nicht im Menü verlinke Module für alle? auf nein habe, geht der Hack dann trotzdem?

    Weil ja dann eigentlich kommen sollte, Keine Rechte usw....!!!
    -Heute schon böhse gewesen?- Ab zur Community
    -No Support via Contact-
    0 Mitglieder finden den Beitrag gut.
  3. #33
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Ich denke ja da die datei nicht !! vom script erfasst wird !
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  4. #34
    User Pic
    boehserdavid Mitglied
    Registriert seit
    26.08.2006
    Beiträge
    2.122
    Beitragswertungen
    2 Beitragspunkte
    Also könnte man als vorbeuge diesen Ordner auch mit in diese Abfrage mit einbeziehen oder ist das zu kompliziert?
    Weil ja php anscheinend doch hochgeladen wird, obwohl der array das ja net hergibt!
    -Heute schon böhse gewesen?- Ab zur Community
    -No Support via Contact-
    0 Mitglieder finden den Beitrag gut.
  5. #35
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    NE der schutz für dies nicht im menü verlinkte bezieht sich rein auf dateien die mit dem ilch "sicherheits-schutz" ausgestattet wurden also nur dateien keine ordner!
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  6. #36
    User Pic
    BlackTiger Mitglied
    Registriert seit
    21.01.2007
    Beiträge
    167
    Beitragswertungen
    0 Beitragspunkte
    Moin,
    schreibt ihr dann hier was rein oder nen News wenn das Update aus der testphase in den DL bereich kommt? zwinker Damit wir wieder safe sind ?! lachen
    0 Mitglieder finden den Beitrag gut.
  7. #37
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    ne wir halten das geheim so das niemand das update bekommt, und jetzt alle clanpages gehackt werden können.


    na klar wirds bekannt gegeben wenns fertig zum download ist.
    was für eine frage^^

    manuel gibt an, das auch in der gallery und avatarfunktion zu überprüfen, also hilft es doch nicht viel die upload funtkion unter downloads zu deaktivieren wenn schon dann alles:

    - Dürfen User Dateien hochladen? nein
    - Avatar Upload? nein
    - Darf jeder User seine eigene Gallery haben? nein

    zumindest solange bis release ist
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  8. #38
    User Pic
    neox Mitglied
    Registriert seit
    17.10.2006
    Beiträge
    432
    Beitragswertungen
    0 Beitragspunkte
    Hoffentlich ist das Update bald da grumml
    0 Mitglieder finden den Beitrag gut.
  9. #39
    User Pic
    boehserdavid Mitglied
    Registriert seit
    26.08.2006
    Beiträge
    2.122
    Beitragswertungen
    2 Beitragspunkte
    Nochmal ne Frage trotz das das Update schon da ist!
    Man kann doch mit ner .htaccess Datei verbieten, das Leute bestimmte Datein "anfassen" können oder hab ich da was falsch verstanden?
    -Heute schon böhse gewesen?- Ab zur Community
    -No Support via Contact-
    0 Mitglieder finden den Beitrag gut.
  10. #40
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Schon aber in diesem Fall bringt das nix, da die Datei vom Webserver ausgelesen wird und der muss das dürfen, man könnte zwar einen Schutz in die Datei einbauen, dass nur die index.php und admin.php sie öffnen dürfen, aber das ist dann auch dumm für Updates und Module.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  11. #41
    User Pic
    Shoxx Mitglied
    Registriert seit
    22.01.2007
    Beiträge
    2
    Beitragswertungen
    0 Beitragspunkte
    Hallo, ich hab ein Problem, und zwar weiss eiuner unser daten ftp mysql usw. wir wollten gtrad auf die hoimepage da erchien diese Bild. Link ist unten.
    Dr will uns fertiog machen was sollen wir denn tun?
    0 Mitglieder finden den Beitrag gut.
  12. #42
    User Pic
    NickName gelöschter User
    wie im kommentar zur news geschrieben, kann ich mit genannten file IMMERNOCH die db-daten auslesen!!!!
    0 Mitglieder finden den Beitrag gut.
  13. #43
    User Pic
    thbreidenbach Mitglied
    Registriert seit
    05.05.2006
    Beiträge
    348
    Beitragswertungen
    0 Beitragspunkte
    Warum auch nicht? Wenn Du die Datei mutwillig auf Deinen Server uploadest ist das klar! Das Update soll verhindern, dass jemand fremdes diese Datei einspielen kann!

    Das Update verhindert nicht, dass Du Dir das Ding selbst reinknallst - und die Funktion solcher Skripte wird auch NICHT eingeschränkt!

    Gruss Breiti
    -->leider kein "ilcher" mehr...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  14. #44
    User Pic
    Zh0kZ Mitglied
    Registriert seit
    16.09.2006
    Beiträge
    763
    Beitragswertungen
    0 Beitragspunkte
    Mal abwarten was noch so kommt ....

    Die Ilcher machen es schon, die kennen sich ja damit aus, nehme ich mal an lächeln
    0 Mitglieder finden den Beitrag gut.
  15. #45
    User Pic
    white-hat Mitglied
    Registriert seit
    15.01.2007
    Beiträge
    24
    Beitragswertungen
    0 Beitragspunkte
    junge junge das dat so ausragt....warum verbietet ihr net einfach nen userupload fertig....danach kann man immer noch das update rausbringen womit das funzt
    0 Mitglieder finden den Beitrag gut.
  16. #46
    User Pic
    white-hat Mitglied
    Registriert seit
    15.01.2007
    Beiträge
    24
    Beitragswertungen
    0 Beitragspunkte
    eine Frage an das ilch team

    Wie funktioniert das mit dem Templates bei euch? werden die eingelesen oder wie funzt das ich seh da keinen code drinne
    0 Mitglieder finden den Beitrag gut.
  17. #47
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    unter Support die wichtigsten Infos:
    externer Link
    externer Link

    *edit: Update ist schon da....


    Zuletzt modifiziert von s_down am 23.01.2007 - 16:10:34
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  18. #48
    User Pic
    thbreidenbach Mitglied
    Registriert seit
    05.05.2006
    Beiträge
    348
    Beitragswertungen
    0 Beitragspunkte
    m.E. klappt das Update ohne Schwierigkeiten. Besonderheiten, die einige nutzen (z.B. Downloads mit Rechtevergabe) sind aber nicht Updatefähig. Es fehlt schlicht an der jew. Abfrage nach dlrecht (oder wie das Ding heisst)

    Das versteht hier offensichtlich ein Teil nicht. Wer altenative Module einsetzt, kann nicht erwarten, dass das Update hiermit zusammenarbeitet. Ich muss auch das DL Modul selbst umschreiben, bis dahin wird der Upload versiegelt und die Verzeichnisse ge-chmodet.

    Die Modulautoren werden (wenn Sie es für nötig halten, was Sie NICHT müssen!) Ihre Module anpassen, falls es nicht ein anderer tut.

    Gruss Breiti
    -->leider kein "ilcher" mehr...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  19. #49
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    da muss ich thbreidenbach zustimmen.. jedes Modul ist eine mögliche Sicherheits lücke.
    Ich nehme nicht an, dass alle Module nach den nötigen Sicherheitsmassnahmen geschrieben wurden...
    eigendlich sollte man vor dem Benützen eines Modules schauen ob der Autor auch überall die eingaben genügend filtert...
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  20. #50
    User Pic
    thbreidenbach Mitglied
    Registriert seit
    05.05.2006
    Beiträge
    348
    Beitragswertungen
    0 Beitragspunkte
    Bei interesse, ich habe die Rechtegeschichte aus dem Modul DL mit Rechten eingebaut. Sind nur 2 Anpassungen, die Updatedatei bleibt vollständig.

    Gruss Breiti
    -->leider kein "ilcher" mehr...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  21. #51
    User Pic
    white-hat Mitglied
    Registriert seit
    15.01.2007
    Beiträge
    24
    Beitragswertungen
    0 Beitragspunkte
    hust keuch,

    wie wärs mal mit nem Danke schließlich hätte ich fast alle ilchscript pages wegblasen können ....ney ney:Pzungezunge
    0 Mitglieder finden den Beitrag gut.
  22. #52
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Ähm ja, ich sag mal Dankeschön, aber fürs nächste mal würde ich trotzdem empfehlen, nicht eine Daten reinzustellen, damit nicht irgendwelche Scriptkiddies kommen, wie du es selbst schon gesagt hast zwinker
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  23. #53
    User Pic
    djrealgizmo Mitglied
    Registriert seit
    25.01.2007
    Beiträge
    1
    Beitragswertungen
    0 Beitragspunkte
    Hi!

    Also ich hab das Update sofort eingespielt. Und auch die Upload Funktion deaktiviert. Sowie alle KW geändert. Und heute morgen hatte ich wieder htm dateien mit IFrame Code auf meinen Webspace. So langsam nervts mich, wenn ich immer wieder das Backup einspielen muss. Scheiss Scriptkiddies.

    Hat das heute auch schon jemand gehabt?

    Werde nochmals mein ftp KW ändern. Um auszuschließen, dass man den Account da gehackt hat. Aber merkwürdig ist es trotzdem. :-(
    0 Mitglieder finden den Beitrag gut.
  24. #54
    User Pic
    Ithron Hall Of Fame
    Registriert seit
    21.01.2006
    Beiträge
    2.659
    Beitragswertungen
    24 Beitragspunkte
    mich würde mal interessieren was da nun gefixt wurde damit das nicht mehr klappt... ?
    ZitatZitat geschrieben von loW

    Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
    0 Mitglieder finden den Beitrag gut.
  25. #55
    User Pic
    dastiii Mitglied
    Registriert seit
    27.12.2005
    Beiträge
    2.354
    Beitragswertungen
    84 Beitragspunkte
    Man kann keine Dateien ausser .rar .zip und .tar (glaube ich) hochladen!
    0 Mitglieder finden den Beitrag gut.
  26. #56
    User Pic
    Ithron Hall Of Fame
    Registriert seit
    21.01.2006
    Beiträge
    2.659
    Beitragswertungen
    24 Beitragspunkte
    mir fällt grade ein... bei bbcode2 kann man ja php im forum und so verwenden.. könnte man das nicht missbrauchen um eine datei upzuloaden und dann die datei abzurufen?
    ZitatZitat geschrieben von loW

    Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
    0 Mitglieder finden den Beitrag gut.
  27. #57
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    wie das denn?? der bbcode macht nix weiter als text in html befehle umzuwandeln... und auch nur in vorbestimmten.

    mit dem bbcode kannst du keine dateien ausführen, aufrufen oder hochladen.
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  28. #58
    User Pic
    Ithron Hall Of Fame
    Registriert seit
    21.01.2006
    Beiträge
    2.659
    Beitragswertungen
    24 Beitragspunkte
    es gibt die funktion php verwenden


    dann könnte man doch (-> gleiches prinzip wie beim user upload) daten hochladen... und dann noch ne echo ausgabe oder so damit es keiner mit bekommt... hab noch nie mit dem php verwenden gearbeitet.. also kA ob es möglich wäre...
    ZitatZitat geschrieben von loW

    Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
    0 Mitglieder finden den Beitrag gut.
  29. #59
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    NEIN, das bedeuted nur, dass er die php Syntax farbig markiert!

    <?php
    
    function Test () {
     $variable = 'String';
    
    ?>


    Verstehst du?
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  30. #60
    User Pic
    Ithron Hall Of Fame
    Registriert seit
    21.01.2006
    Beiträge
    2.659
    Beitragswertungen
    24 Beitragspunkte
    achsoooooooooooooooooooooooooooooo lachen




    ja danke mairu glücklich

    wie gesagt, kannte das nicht so wirklich.. fiel mir nur grad so ein^^
    ZitatZitat geschrieben von loW

    Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Kritik und Verbesserungen

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten