Exploit@zooomclan.org
So liebe Leute, Forumbenützer und Programmer... ja, es ist soweit! Was die ganze Welt nicht im Traum daran dachte ist eingetreten. Die schlimmste je eintreffbare Kastastophe für eine Homepage und dessen Programmers hat nun genau zooomclan.org heimgesucht - that's fuck, that's shit!!!
Aber nun die ganze Geschichte von vorne. Als ich letzte Woche so friedlich am PHP-Scripten war und mir ein Konzept für ein eigenes Forum zurechlegen wollte surfte ich im Netz herum um ein paar Forums anzucken, damit all dessen Vorzüge in mein Script einfliessen lassen könnte. Also guck ich mir auch das Forum vom Herrn [z] milamber an. Beim durchguckeren sehe ich mir das an, was das mit dem edit und open eines einzelnen Entries funxt an. Da merke ich, dass sie ein Aufruf zwischen einem Edit und einem Open eigentlich nicht unterscheiden. Lediglich ein paar Änderungen an den Parametern sind festzustellen. Normalerweise wird ja wenn man eingelogt ist der Edit-Link angezeigt, wenn man den Eintrag selbst geschrieben hat. Da das ganze ja mit GET funxt, hab ich einfach mal ein Link von meinem Eintrag ein die Adressleiste reinkopiert und die id-nummern eines anderen Eintrages, welcher nicht von mir verfasst wurde genommen. Und siehe da, ich bin im Edittierfeld drin, kann den Eintrag abändern und abspeichern. Das ist natürlich ziemlich mischtig. Leider ist es nicht so, dass man in der heutigen Zeit wo Quasi-Hacker meinen das Netz zu regieren meinen kann, was man nicht sieht, gibt nicht. Nur den Link zu verbergen ist tödlich.
Durch diese Sicherheitslücke kann man im Prinzip das ganze Forum löschen. Man könnte auch der ganze Aufbau durcheinander bringen, indem man ein bischen mit den Parent-ID herumspielt. Da jedoch die Herren Webmaster von zooomclan.org regelmässig ihre MySQL Datenbank sichern (..?), wäre dies vermutlich Sie kein Problem, da man einfach alles wiederherstellen könnte.
Ein einfachster Exploit könnte als ins Herz des zooomclans stechen!!!!!!!!!!!!!!! tz tz tz
So ich geh nun mal davon aus, das diese Sicherheitslücke nun niemand ausprobieren wird, dadurch haben die [z]-Coders genügend Zeit, um dieses Problem zu beheben. Falls Ihr doch wollt, könnt ihr ja hier an diesem Eintrag unten eure grüsse hinterlassen...
Wir stellen dich gerne als sicherheitslückensucher ein. aber du kannst sicher sein, dass die nicth beheben werden.
denn eingentlich kratzt es kein schwein auser dir, dass man posts eines anderen editieren kann. ganz einfach deshalb weil wir hier nicht im kindergartn sind und so bockmist machen.
Sicher kratzt es ein Schwein. Seid froh und dankbar.
Floip haette vielleicht besser dem dev-team einen Tag Vorsprung gegeben, aber so ists auch ok.
Und Tschuder: gut, dass dich die z Security nicht kratzt. Wir wissen ja genau, WER den AFAIK ersten Fremdpost hier gemacht hat, weil JEMAND ANDERS kein PW gesetzt hatte. Scho recht.
im schach gab es nie ein "sicherheitsloch"...wüsste auch nicht wo.
Aber ich finds gut das floip uns auf diesen etwas groben fehler hinweisst.
allerdings, hätt ich von dir, lamber auch erwartet das du dies so oder so einbauen tust.
wenn einen ein "richtiger" hacker sein will, dann soll er pages wie hotmail, aol, yahoo, amazon, etc. hacken ! und nicht das forum eines clans "durcheinander zu bringen". das machen nur n00bs welche ein neues "super-hacker-tool" runtergeladen haben und jetzt die "super-coolen-hacker-typen" sind (<- ich sprech aus erfahrung ;-)
Nimand will hier den Hacker spielen
Ich finds toll das er auf das Problem aufmerksam macht anstatt einfach zu leidwerchen. Ihr solltet eher dankbar sein als rumzumotzen.
jo, schom klar. habe auch niemanden hier damit gemeint. ich meinte: die sicherheitslücke ist bestimmt nicht so schlimm, weil ein hacker wird sich kaum für eine clan page interessieren, vorallem nicht daran, dass er das forum durcheinander bringt. sonst muss ihm ja ziemlich langweilig sein ;-)
DaKine: ich kann mir gut vorstellen, dass diese grossen internet pages täglich angegriffen werden, aber "er" (der hacker... ;-) könnte ja trotzdem auch dort mitmachen. lol
ich habe auch schon hier herumgespielt mit den nummern wechseln etc. aber nur bei den user infos, glaube ich. dachte, wenn ich das raus finde, dann wisst ihr das sicher schon lange ;-)
Ich glaub du hast wirder mol nicht verstanden was ich gemeint hab.
Sicher kratzt mich, wenns auf der zorg Seite Bugs hat. Aber für mich geht nicht grad die Welt unter, wenn das einer rausfindet und ins Forum schreibt.
Wie floip sagt, hat er mir gesagt, dass es einen bug hätte, ich wäre also in der Lage gewesen, diesen Post zu verhinden.
Ich habs aber nicht getan, weil ich es nicht weiter tragisch finde, dass der floip den Post gemacht hat. Ich finds gut, dass er n bischen was ausprobiert, dabei nichts kaputt macht, und uns über unsere fehler aufklährt.
PS: AFAIK war ich das mit dem ersten Fremdpost. Ich hätte auch ganz dezent ein Mail an dich schreiben können, mit der bitte ein PW zu ändern, aber das hätte dich nicht gekratzt..
aber floip, kleine kritik:
dein text wirkt auf mich ziemlich poserisch... wenn du weisst, was ich meine.
im übrigen pflegen wir eigentlich keine "security by obscurity". diesen "fehler" hätte ich ehrlich gesagt auch nie gesucht, da ich, wie cylander, dachte, dass da sicher eine authorisierung stattfindet...
ok, ich wusste, dass milamber ein guter und verantwortungsvoller coder ist.
im übrigen... bist du dir sicher, dass die software, die du einsetzt, keine sicherheitslücken hat?
hast du den code zeile für zeile durchgelesen und dir kurz mal alle möglichen szenarien vorgestellt?
ich glaube der herr stamp möcht damit eigentlich sagen " aufbläumend " " grossmutig " " wichtigtuerisch " ??? oder sollt ich da mal im DU-DU-DEN nachgucken?
