 Verfasst am: 30.06.2007 17:35 |
 |
|
| Kaito |
|
|
 |
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
 |
|
Hi
Ich habe vor ein paar Tagen angefangen ein privates CMS, auf PHP-Basis, zu schreiben.
Z.Z beinhaltet es nur ein Login-System mit Userverwaltung und Rechtesystem
und das News-System.
Whre schn wenn ihr es auf Sicherheit prfen knntet.
http://kaito.pytalhost.net/
Am besten ihr findet das Passwort zum Adminaccount raus (Un.: Admin).
lg Kaito |
|
|
|
|
| Verfasst am: 30.06.2007 18:20 |
|
|
| Cerox |
|
 |
|
| Anmeldedatum: 31.12.2005 |
| Beitrge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Haste das wirklich selber geschrieben? Das sieht irgendwie so sehr nach dem ilch aus, was ich frher mal fr Clan-Zwecke verwendet habe.
Oben im HTML-Titel steht PHP-Code; da haste wohl irgendwas falsch gemacht.
Der CrackerTracker lsst sich bei jedem beliebigen PHP-Skript nutzen -> schau mal hier. Der gleichnamige Mod fr das phpbb-Forum hat damit dann nichts zu tun. |
|
|
|
|
| Verfasst am: 30.06.2007 18:26 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
hi
danke fr die schnelle antwort
das design ist von einem freund angefertigt worden und nur zu testzwecken.
das kommt nachher noch weg.
ich hab jetzt den Standalonetracker eingebaut, nur was ich so rausgefunden habe blockt der keine sql attacken, sondern nur get attacken oder?
probier mal einen bitte ich hab keine Ahnung wie das eig. geht
lg Kaito
EDIT:: ja das design ist fr ilich angefertigt aber es ist non public |
|
|
|
|
| Verfasst am: 30.06.2007 18:32 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beitrge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Laut der Website von CBACK soll der CrackerTracker SQL Injection-Attacken verhindern.
Wie soll sich jemand die Page anschauen wenn du da gerade anfngst dran rumzubasteln und Dateien lscht oder was auch immer du machst - der Datenbankzugriff schlgt fehl. |
|
|
|
|
| Verfasst am: 30.06.2007 18:36 |
|
|
| Ferro Unit |
|
|
|
| Anmeldedatum: 23.08.2006 |
| Beitrge: 18 |
|
|
|
|
|
|
|
In etwa auf halber Hhe im HTML Quelltext war auch noch PHP Code, welcher wohl das Navigieren in den serverseitigen Verzeichnissen mittels index.php?site=%pfad% verhindern sollte aber nicht interpretiert wurde.
Also bitte schauen, dass auch wirklich jeder PHP Code ausgefhrt wird, weil sonst uU Sicherheitslcken entstehen (wie auch in diesem Fall). |
|
|
|
|
| Verfasst am: 30.06.2007 19:42 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
wie schon gesagt die links fhren ins nirvana
das komplette script dahinter ist zz nur ein news system und ein loginsystem
ich wollte wissen ob ihr das loginsystem hacken knnt denn bei mir gehen die sql injections nicht
@Cerox: aso den cracker tracker ich hab etwas anderes verwendet
lg
EDIT:: sry hab die falsche config hochgeladen  jetzt gehts wieder |
|
|
|
|
 | |  |
| Verfasst am: 30.06.2007 23:54 |
|
|
| Cerox |
|
|
|
| Anmeldedatum: 31.12.2005 |
| Beitrge: 782 |
| Wohnort: Engelskirchen |
|
|
|
|
|
|
Ich kann im Login-Sytem kein SQL injizieren.
Du solltest allerdings auch auf eine sichere Programmierung achten; dein CrackerTracker behebt keine Sicherheitslcken sondern umgeht nur Probleme, sofern welche vorhanden sind.
Das ist vergleichbar mit einer Personal Firewall, die den Zugriff auf Dienste blockiert; diese PF umgeht das Problem genauso. Die Lsung des Problems liegt in der Abschaltung des entsprechenden Dienstes. In deinem Fall solltest du also sicher programmieren.
Der CrackerTracker sollte also nur als Ergnzung angesehen werden.
Du solltest die Eingaben der Felder fr Benutzername und Passwort berprfen. Ich wrde dort zum Beispiel bestimmte Sonderzeichen wie (- / *) filtern.
Sofern der Benutzername auf der Administrationsseite wieder auftaucht, musst du dafr sorgen, dass der Angreifer keinen HTML- oder JavaScript-Code einfgen kann (XSS).
Die PHP-Funktion htmlentities wird dir dabei behilflich sein.
Wie "Ferro Unit" schon erwhnte, befindet sich in deinem HTML-Code immer noch PHP, was anscheinend nicht interpretiert wird (in der Mitte und oben beim title-Attribut). |
|
|
|
|
| | |
| Verfasst am: 01.07.2007 20:03 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
|
|
|
|
| | |
| Verfasst am: 24.07.2007 19:50 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
hi
ich hab ein riesen problem bei meinem cms und zwar:
auf der in index.php lass ich die seiten wiefolgt aufscheinen:
| Code: |
<?php
$siteid=$_GET['site'];
if(!isset($siteid)) $siteid="news.php";
//Sichheitslücke beheben
$invalide = array('/', '/\/',':');
$siteid = str_replace($invalide,' ',$siteid);
if(!file_exists($siteid)) $siteid = "news.php";
include($siteid);
?>
|
das heit ich geb der seite den link zb ?site=guesbook
dann wird die guestbook.php angezeigt.
das dient der sicherheit damit man keine externe seite einbinden kann
so und jetzt mchte ich aber zb die profil.php aufruchen mit dem gat befehl ?show=1.
so der link lautet jetzt: http://localhost/cms/?site=profil.php?show=1
aber er tut gar nix.
vielleicht wisst ihr eine lsung.
lg Kaito |
|
|
|
|
| | |
| Verfasst am: 25.07.2007 01:07 |
|
|
| BlackLotus |
|
 |
|
| Anmeldedatum: 04.01.2006 |
| Beitrge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
|
_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.
Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das 
http://blackwiki.bl.ohost.de |
|
|
|
| Verfasst am: 25.07.2007 10:04 |
|
|
| Kaito |
|
|
|
| Anmeldedatum: 12.01.2006 |
| Beitrge: 80 |
| Wohnort: /desktop/papierkorb |
|
|
|
|
|
|
|
|
|
|
| Verfasst am: 25.07.2007 17:47 |
|
|
| BlackLotus |
|
|
|
| Anmeldedatum: 04.01.2006 |
| Beitrge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
|
|
Jo da funzt sie auch nicht
und ich wusste mal wie das geht wenn meine zeit es zulsst guck ich mirs nochmal an ansonsten kannse auch einfach includen durch ein site=xyz
| Code: | | include("./$xyz.php"); |
so msste das gehen auch mit parameterbergabe und man kann dann auch keien ncode von fremden seiten einschleusen |
|
_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.
Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein
Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das
http://blackwiki.bl.ohost.de |
|
|
|
| Verfasst am: 02.09.2013 13:10 |
|
|
| maryyou |
|
|
|
| Anmeldedatum: 30.08.2013 |
| Beitrge: 3 |
| Wohnort: Berlin |
|
|
|
|
|
|
|
|
|
|
| Verfasst am: 19.03.2021 09:01 |
|
|
| warganic |
|
|
|
| Anmeldedatum: 26.02.2021 |
| Beitrge: 258570 |
|
|
|
|
|
|
|
|
|
|
|
| | |
| Verfasst am: 03.06.2021 09:16 |
|
|
| warganic |
|
|
|
| Anmeldedatum: 26.02.2021 |
| Beitrge: 258570 |
|
|
|
|
|
|
|
|
|
|
|
| | |
| Foren-bersicht » Internetprogrammierung |
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 2
Gehe zu Seite 1, 2 Weiter
|
|
|
|
|
