Mo. 22.01.2007
19:57 Uhr
#32
- Registriert seit
- 26.08.2006
- Beiträge
- 2.122
- Beitragswertungen
Jetzt mal ne Frage von mir!
Wenn ich im AdminMenu unter Konfiguration -> Nicht im Menü verlinke Module für alle? auf nein habe, geht der Hack dann trotzdem?
Weil ja dann eigentlich kommen sollte, Keine Rechte usw....!!!
Mo. 22.01.2007
20:17 Uhr
#33
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Ich denke ja da die datei nicht !! vom script erfasst wird !
Mo. 22.01.2007
20:31 Uhr
#34
- Registriert seit
- 26.08.2006
- Beiträge
- 2.122
- Beitragswertungen
Also könnte man als vorbeuge diesen Ordner auch mit in diese Abfrage mit einbeziehen oder ist das zu kompliziert?
Weil ja php anscheinend doch hochgeladen wird, obwohl der array das ja net hergibt!
Mo. 22.01.2007
20:41 Uhr
#35
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
NE der schutz für dies nicht im menü verlinkte bezieht sich rein auf dateien die mit dem ilch "sicherheits-schutz" ausgestattet wurden also nur dateien keine ordner!
Mo. 22.01.2007
22:00 Uhr
#37
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
ne wir halten das geheim so das niemand das update bekommt, und jetzt alle clanpages gehackt werden können.
na klar wirds bekannt gegeben wenns fertig zum download ist.
was für eine frage^^
manuel gibt an, das auch in der gallery und avatarfunktion zu überprüfen, also hilft es doch nicht viel die upload funtkion unter downloads zu deaktivieren wenn schon dann alles:
- Dürfen User Dateien hochladen? nein
- Avatar Upload? nein
- Darf jeder User seine eigene Gallery haben? nein
zumindest solange bis release ist
Discite moniti!
www.pixelbash.de
Mo. 22.01.2007
23:04 Uhr
#39
- Registriert seit
- 26.08.2006
- Beiträge
- 2.122
- Beitragswertungen
Nochmal ne Frage trotz das das Update schon da ist!
Man kann doch mit ner .htaccess Datei verbieten, das Leute bestimmte Datein "anfassen" können oder hab ich da was falsch verstanden?
Di. 23.01.2007
08:20 Uhr
#40
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Schon aber in diesem Fall bringt das nix, da die Datei vom Webserver ausgelesen wird und der muss das dürfen, man könnte zwar einen Schutz in die Datei einbauen, dass nur die index.php und admin.php sie öffnen dürfen, aber das ist dann auch dumm für Updates und Module.
Di. 23.01.2007
13:26 Uhr
#41
- Registriert seit
- 22.01.2007
- Beiträge
- 2
- Beitragswertungen
Hallo, ich hab ein Problem, und zwar weiss eiuner unser daten ftp mysql usw. wir wollten gtrad auf die hoimepage da erchien diese Bild. Link ist unten.
Dr will uns fertiog machen was sollen wir denn tun?
Di. 23.01.2007
13:37 Uhr
#42
wie im kommentar zur news geschrieben, kann ich mit genannten file IMMERNOCH die db-daten auslesen!!!!
Di. 23.01.2007
14:42 Uhr
#43
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
Warum auch nicht? Wenn Du die Datei mutwillig auf Deinen Server uploadest ist das klar! Das Update soll verhindern, dass jemand fremdes diese Datei einspielen kann!
Das Update verhindert nicht, dass Du Dir das Ding selbst reinknallst - und die Funktion solcher Skripte wird auch NICHT eingeschränkt!
Gruss Breiti
Di. 23.01.2007
16:03 Uhr
#45
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
junge junge das dat so ausragt....warum verbietet ihr net einfach nen userupload fertig....danach kann man immer noch das update rausbringen womit das funzt
Di. 23.01.2007
16:05 Uhr
#46
- Registriert seit
- 15.01.2007
- Beiträge
- 24
- Beitragswertungen
eine Frage an das ilch team
Wie funktioniert das mit dem Templates bei euch? werden die eingelesen oder wie funzt das ich seh da keinen code drinne
Di. 23.01.2007
16:12 Uhr
#48
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
m.E. klappt das Update ohne Schwierigkeiten. Besonderheiten, die einige nutzen (z.B. Downloads mit Rechtevergabe) sind aber nicht Updatefähig. Es fehlt schlicht an der jew. Abfrage nach dlrecht (oder wie das Ding heisst)
Das versteht hier offensichtlich ein Teil nicht. Wer altenative Module einsetzt, kann nicht erwarten, dass das Update hiermit zusammenarbeitet. Ich muss auch das DL Modul selbst umschreiben, bis dahin wird der Upload versiegelt und die Verzeichnisse ge-chmodet.
Die Modulautoren werden (wenn Sie es für nötig halten, was Sie NICHT müssen!) Ihre Module anpassen, falls es nicht ein anderer tut.
Gruss Breiti
Di. 23.01.2007
16:19 Uhr
#49
- Registriert seit
- 11.04.2005
- Beiträge
- 1.194
- Beitragswertungen
da muss ich thbreidenbach zustimmen.. jedes Modul ist eine mögliche Sicherheits lücke.
Ich nehme nicht an, dass alle Module nach den nötigen Sicherheitsmassnahmen geschrieben wurden...
eigendlich sollte man vor dem Benützen eines Modules schauen ob der Autor auch überall die eingaben genügend filtert...
Di. 23.01.2007
19:17 Uhr
#50
- Registriert seit
- 05.05.2006
- Beiträge
- 348
- Beitragswertungen
Bei interesse, ich habe die Rechtegeschichte aus dem Modul DL mit Rechten eingebaut. Sind nur 2 Anpassungen, die Updatedatei bleibt vollständig.
Gruss Breiti
Do. 25.01.2007
08:44 Uhr
#53
- Registriert seit
- 25.01.2007
- Beiträge
- 1
- Beitragswertungen
Hi!
Also ich hab das Update sofort eingespielt. Und auch die Upload Funktion deaktiviert. Sowie alle KW geändert. Und heute morgen hatte ich wieder htm dateien mit IFrame Code auf meinen Webspace. So langsam nervts mich, wenn ich immer wieder das Backup einspielen muss. Scheiss Scriptkiddies.
Hat das heute auch schon jemand gehabt?
Werde nochmals mein ftp KW ändern. Um auszuschließen, dass man den Account da gehackt hat. Aber merkwürdig ist es trotzdem. :-(
Do. 25.01.2007
12:52 Uhr
#54
- Registriert seit
- 21.01.2006
- Beiträge
- 2.659
- Beitragswertungen
mich würde mal interessieren was da nun gefixt wurde damit das nicht mehr klappt... ?
Zitat geschrieben von
loW
Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
Do. 25.01.2007
13:27 Uhr
#55
- Registriert seit
- 27.12.2005
- Beiträge
- 2.354
- Beitragswertungen
Man kann keine Dateien ausser .rar .zip und .tar (glaube ich) hochladen!
Fr. 26.01.2007
16:24 Uhr
#56
- Registriert seit
- 21.01.2006
- Beiträge
- 2.659
- Beitragswertungen
mir fällt grade ein... bei bbcode2 kann man ja php im forum und so verwenden.. könnte man das nicht missbrauchen um eine datei upzuloaden und dann die datei abzurufen?
Zitat geschrieben von
loW
Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
Fr. 26.01.2007
16:27 Uhr
#57
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
wie das denn?? der bbcode macht nix weiter als text in html befehle umzuwandeln... und auch nur in vorbestimmten.
mit dem bbcode kannst du keine dateien ausführen, aufrufen oder hochladen.
Discite moniti!
www.pixelbash.de
Fr. 26.01.2007
16:36 Uhr
#58
- Registriert seit
- 21.01.2006
- Beiträge
- 2.659
- Beitragswertungen
es gibt die funktion php verwenden
dann könnte man doch (-> gleiches prinzip wie beim user upload) daten hochladen... und dann noch ne echo ausgabe oder so damit es keiner mit bekommt... hab noch nie mit dem php verwenden gearbeitet.. also kA ob es möglich wäre...
Zitat geschrieben von
loW
Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?