H A C K I N G   A L A R M

Startbeitrag von Nico22 am 09.10.2004 19:42

DXPG, könntest du folgendes an mySnip schicken:

Es gibt anscheinend eine Sicherheitslücke, mit der Adminrechte erlangt werden können.

Ich vermute, dass es sich dabei um eine Manipulation der internen PHP-Variablen handelt.

Bitte übertragen Sie Variablen nur über das POST-Verfahren, und bitte werten Sie diese auch nur über den &_POST['variable] - Befehl aus.

Bei relevanten Daten nehmen Sie bitte eine Session-Cookie zur Hand, vielleicht, indem sie eine Prüfsumme speichern.

Wir haben hier einen User mit Adminrechten, dieser wurde aber nicht als solches deklariert.

Antworten:

Re: H A C K I N G   A L A R M

Ja ich habe bereits etwas geschrieben, das werde ich dann auch schreiben.



von DX-Project-Graz - am 09.10.2004 19:43

Re: H A C K I N G   A L A R M

Nico, Unsinn. Entweder ein Moderator hier ist nicht gerade vorsichtig mit seinen Benutzerdaten gewesen oder macht es absichtlich.
Von einer Sicherheitslücke ist nicht das geringste zu erkennen.

Falsche Mutmaßungen helfen da sicher nicht weiter.



von thomas (Mysnip.de) - am 09.10.2004 20:16

Re: H A C K I N G   A L A R M

Na aber was ist es dann? Also ich bin absolut vorsichtig hier... Jens und Robert S. sind net da...



von DX-Project-Graz - am 09.10.2004 20:19

Re: H A C K I N G   A L A R M

supi
eine 24h bereitschaft des my.snip- teams :fun:



von angemon - am 09.10.2004 20:21

Re: H A C K I N G   A L A R M

Ja das ist wirklich toll !!! :spos:



von DX-Project-Graz - am 09.10.2004 20:22

Re: H A C K I N G   A L A R M

Deswegen ja eine mögliche Sicherheitslücke.

Entweder erlaubt sich ein Mod nen kleinen Schewrz (wie witzig), oder hier ist wirklich jemand seh unvorsichtig.

Man soll NIE nie sagen..



von Nico22 - am 09.10.2004 20:24

Re: H A C K I N G   A L A R M

also, grüsse von robert s. der sitzt momentan in einer kneipe :drink: . und morgen naht das jüngste gericht



von angemon - am 09.10.2004 20:40
Zur Information:
MySnip.de hat keinen Einfluss auf die Inhalte der Beiträge. Bitte kontaktieren Sie den Administrator des Forums bei Problemen oder Löschforderungen über die Kontaktseite.
Falls die Kontaktaufnahme mit dem Administrator des Forums fehlschlägt, kontaktieren Sie uns bitte über die in unserem Impressum angegebenen Daten.