Pagina 1 van 1
Beveiligings problemen
Geplaatst: 12 mei 2004, 08:47
door Witch hazel
Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen. Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?
Groetjes Witch hazel
Re: Beveiligings problemen
Geplaatst: 12 mei 2004, 12:23
door Hans Kamp
Witch hazel schreef:Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen.
Wat bedoel je precies? Bedoel je de modereerknoppen bij berichten en onderaan elk topic, en de link
Ga naar Administratiepaneel onderaan elke pagina?
Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?
Met geGETte variabelen kun je de zaak nog neppen, maar met gePOSTe variabelen volgens mij niet. Ik kan dat vanavond eens tot op het bot napluizen.
Re: Beveiligings problemen
Geplaatst: 12 mei 2004, 13:26
door mosymuis
Witch hazel schreef:Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen. Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?
Groetjes Witch hazel
Dat is het zogenaamde PHP hacken, er zaten inderdaad verschillende bugs in phpBB waarmee je bijvoorbeeld de hash van het administrator password kon achterhalen. De laatste maanden is hier echter heel hard aan gewerkt door het phpBB team, wat te zien valt aan de snel opvolgende security updates. Als je nu v2.0.8a draait kan je ervan uitgaan dat je veilig bent.
Geplaatst: 08 jun 2004, 21:02
door roel_lupoclb
Dat is dus niet Veilig.
Op ons Forum
http://www.lupoclub.nl schijn je nogal makkelijk binnen te kunnen komen en namen over te kunnen nemen.
Wie weet een oplossing hiervoor?
Geplaatst: 08 jun 2004, 21:16
door mosymuis
roel_lupoclb schreef:Op ons Forum
http://www.lupoclub.nl schijn je nogal makkelijk binnen te kunnen komen en namen over te kunnen nemen.
Waarom denk je dat?
roel_lupoclb schreef:Wie weet een oplossing hiervoor?
Als er nog steeds security leaks zouden zitten in phpBB zijn die nog niet bekend, anders was er wel een fix voor. Als dit zo zou zijn weten wij dus ook niet wat eraan te doen.
Geplaatst: 09 jun 2004, 06:52
door roel_lupoclb
Dat weet ik omdat er dingen zijn gepost onder een naam van een member.
Die niet positief zijn ten opzichte van het Forum.
ik ben daar de Admin, maar ik heb echt geen id wat het zou kunnen zijn.
Ik heb wel alles beveiligd gisteren, zodat gasten alleen nog op het forum kunnen komen en de topics kunnen lezen, voor de rest, wat ze ook aanklikken daar hebben ze een login voor nodig.
Voor de rest zou ik niet weten wat ik zou moeten doen om het te beveiligen.
Geplaatst: 09 jun 2004, 07:27
door mosymuis
roel_lupoclb schreef:Dat weet ik omdat er dingen zijn gepost onder een naam van een member.
Dan is die member waarschijnlijk zelf niet voorzichtig met zijn wachtwoord omgegaan; het is erg onwaarschijnlijk dat een hacker een nog niet bekende exploit zou gebruiken op jouw forum om enkel een berichtje te plaatsen.
Geplaatst: 09 jun 2004, 07:34
door roel_lupoclb
Zoiets dacht ik ookal.
Of hij loopt zelf de boel te verzieken en zegt dat een ander het was.