phpbb exploit

[supperbas]

hmm je hebt gelijk
(kan er niet zo snel 1 vinden)
Zou jij hem dan naar discussie kunnen zetten?

[mac-rolec]

Hackers die hacken om lekken te vinden en ze dan door te geven aan het bedrijf of wat dan ook vind ik niet verkeerd. Het zijn die scriptkiddies die lol hebben in andermans sites platgooien en zoveel mogelijk schade aanrichten die de boel verpesten.

[supperbas]

Hackers die hacken om lekken te vinden en ze dan door te geven aan het bedrijf of wat dan ook vind ik niet verkeerd. Het zijn die scriptkiddies die lol hebben in andermans sites platgooien en zoveel mogelijk schade aanrichten die de boel verpesten.

die 2e is mijn grootste probleem maar zolang nietmand ftp toegang heeft en ik in config.php gecodeerd heb is er geen probleem

[mosymuis]

maar zolang nietmand ftp toegang heeft en ik in config.php gecodeerd heb is er geen probleem

Een gecodeerde config.php is ook te decoderen. En jij hebt geen probleem met hackers die admin toegang verkrijgen?

[Paul]

Ik kan ook fora hacken, maar gebruik het niet om het "hacken", dat kan je niet maken vind ik. Waar ik het in sommige gevallen voor gebruik? Om bijvoorbeeld te kijken of iemand wel updates heeft uitgevoerd, of om juist iemand te helpen die al gehackt is(Bijvoorbeeld door de == exploit) heb enkele scripts hier op mijn eigen server staan waarmee ik dit kan doen.

[supperbas]

maar zolang nietmand ftp toegang heeft en ik in config.php gecodeerd heb is er geen probleem

Een gecodeerde config.php is ook te decoderen. En jij hebt geen probleem met hackers die admin toegang verkrijgen?

nee gelukkig niet hoezo?
(een exploit die ik gezien had voor admin rechten is cookie ver vangen voor phpbb 2.0.12)

Maar mijn gehele website draait op phpbb dus als ze het forum hacken dan hebben ze gelijk mun gehelle website

@paul
paul probeer eens mijn website te hacken
http://www.supperbas.com phpbb 2.0.17 en een flash portal(weet niet hoe veilig de flash portal is)

[mosymuis]

maar zolang nietmand ftp toegang heeft en ik in config.php gecodeerd heb is er geen probleem

Een gecodeerde config.php is ook te decoderen. En jij hebt geen probleem met hackers die admin toegang verkrijgen?

nee gelukkig niet hoezo?

Ik bedoel of je er mee probleem mee zou hebben. Aangezien je alleen je FTP toegang en config.php een risico noemde.

[Paul]

2.0.17 lukt me nog niet .
Neej, het gaat alleen om de oudere, dus < 2.0.13. Bij < 2.0.16(Dacht ik) kan ik het database wachtwoord opvragen

[mosymuis]

2.0.17 lukt me nog niet .

Zou ernstig zijn als je het wel kon. Dat zou betekenen dat je bugs hebt gevonden die nog niet bekend waren bij de phpBB groep...

[Paul]

Dan had ik het hier ook niet neergezet zomaar, maar gemeld. 2.0.16 kan ik trouwens ook niet.

[mosymuis]

Dan had ik het hier ook niet neergezet zomaar, maar gemeld. 2.0.16 kan ik trouwens ook niet.

2.0.16 bevat alleen een IE-only XSS vulnerability. Een relatief klein risico.

[Paul]

Ja, die ken ik, maar hij is me nog niet gelukt om uit te buiten. Me testserver die pikte de bbcode van de exploit niet(En was een 2.0.13, dus is wel vatbaar ervoor)

[supperbas]

wat is securety tip 2 ?
(1 is uptodate)
wat is het 2e beste om te doen voor een secure site?

[mosymuis]

http://www.phpbb.nl/viewtopic.php?t=7829

[supperbas]

http://www.phpbb.nl/viewtopic.php?t=7829

bedankt :thumb:

[Server]

Tja, het is nooit helemaal mogelijk. Ik weet wel, dat die bij lycos niet helemaal goed is, maar daar kwam ik per ongeluk achter, maar hoe je het co ntroleer, weet ik niet precies. Daar was de extensie .PHP (Dus met hoofdletters), niet geparsed.

zou je daar wat mee over kunnen vertellen ?

Wat is daar zo onveilig aan of wat moet je er voor aanpassen zodat het wel veilig is ?

[Paul]

kleine letters gebruiken ipv hoofdletters

[Server]

:s
Dit is een beetje een vaag antwoord.

[Paul]

Wat snap je er niet aan dan? Is volgens mij toch vrij duidelijk

[Server]

Oke, Ik dacht dati k met hoofdletter aan het typen was... nu snap ik het pas.

// edit plus het feit dat ik maar een beginner ben.