phpBB.nl

Van de week had ik iets raars op mijn forum:

In het admin paneel stond "Gast" > "Weergeven van Privé Berichten".

Dit is normaal dus nooit niet mogenlijk, een gast kan geen privé berichten lezen normaal gesproken.

Ik had hem eerst tijdenlijk verbannen, weg wat tie. Ban opgeheven en direct weer in het adminpaneel:
"Gast" > "Weergeven van Privé Berichten"
Zo te zien een spambot of een hacker!!!

Hoe is dit lek te beveiligen???

Waarschijnlijk is het een gast die op de knop 'prive berichten' klikte maar toen direct naar login.php geredirect werd. Maar precies op het moment dat hij op de pagina was werd zijn sessie geupdate. Dat moet wel, anders kan hij niet kijken of je ingelogd bent. Die gast zag dus alleen een login page en jij dat hij probeerde in de pb's te komen.

Geld dit ook voor bots?

ajcied schreef:Geld dit ook voor bots?

Ja, en als het al zou lukken, zouden ze de prive berichten van de gebruiker met het id -1 zien... Dat is anonymous... maar ik kan je verzekeren dat phpbb goed genoeg is beveiligd dat dát niet kan...

Het sessie systeem in phpBB zit vreemd in elkaar, maar ik ben het met podium eens dat het qua beveiliging goed dicht zit.

Ik had eens op een 2.0.4 forum twee accounts, eentje was moderator en de andere niet. Ik was ingelogd met het moderator account, bekeek berichten in het moderator subforum (wat dus ook werd aangegeven in viewonline.php), en logde uit. Daarna logde ik met mijn eigen account terug in, en bekeek andere, publieke, subforums. Maar wat gebeurde er? Viewonline.php beweerde dat ik met het tweede account in het moderator forum zat, waar dat account helemaal niet in kon! Iets wat erg vreemd is, aangezien bij het uitloggen je sessie wordt gewist.

Ik probeer dus te zeggen dat de weergave van de sessies soms wat verwarrend is, maar dat het dan meestal niet klopt met de werkelijkheid.