Beveiligingsrisico via Zoeken

Voor discussies rondom phpBB2. phpBB2 wordt niet meer ondersteund en deze berichten kunnen wellicht gedateerd zijn.
Forumregels

Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.phpBB2.0.x
Gesloten
Beus

Beveiligingsrisico via Zoeken

Bericht door Beus » 24 nov 2003, 22:27

Lees: http://www.phpbb.com/phpBB/viewtopic.php?t=153818
Omhoog
Gebruikersavatar
John_de_Vries
Berichten: 246
Lid geworden op: 20 feb 2003, 12:58
Locatie: Oosterhout
Contacteer:
Contacteer John_de_Vries

Bericht door John_de_Vries » 07 dec 2003, 01:16

Wat bedoelen ze nu precies?

John
Omhoog
Gebruikersavatar
WebSiteNet
Berichten: 6524
Lid geworden op: 20 okt 2003, 16:56
Locatie: Wieringerwerf
Contacteer:
Contacteer WebSiteNet

Bericht door WebSiteNet » 07 dec 2003, 07:35

Dat er een beveiligins lek(je) in search zit die zo snerl mogelijk door alle users moet worden hersteld.
Omhoog
Gebruikersavatar
Luuk
Berichten: 7311
Lid geworden op: 22 okt 2003, 10:07
Locatie: Delft

Bericht door Luuk » 07 dec 2003, 09:08

Ik heb het veranderd, maar als ik nu op zoeken klik dan krijg ik dee error:

Code: Selecteer alles

Parse error: parse error in /home/www/esaclan.50free.net/forum/search.php on line 691
Afbeelding
Omhoog
Noikes
Berichten: 40
Lid geworden op: 26 okt 2003, 17:38
Locatie: Tervuren
Contacteer:
Contacteer Noikes

Bericht door Noikes » 07 dec 2003, 10:13

Bij mij is het wel gelukt.
Hoe ziet je code er dan uit?
Omhoog
Gebruikersavatar
WebSiteNet
Berichten: 6524
Lid geworden op: 20 okt 2003, 16:56
Locatie: Wieringerwerf
Contacteer:
Contacteer WebSiteNet

Bericht door WebSiteNet » 07 dec 2003, 12:24

Controleer goed of je alles wel zo in gevoegd hebt zoals het daar staat. let vooral op puntkomma's (;).
Omhoog
Gebruikersavatar
Luuk
Berichten: 7311
Lid geworden op: 22 okt 2003, 10:07
Locatie: Delft

Bericht door Luuk » 07 dec 2003, 13:42

Ik heb het opnieuw gedaan, en nu doet ie het. Ik denk dat het komt omdat de afstanden in de quote (tot aan de linkermarge) niet dezelfde zijn als in het script. Deze heb ik aangepast, en nu doet ie het.
Afbeelding
Omhoog
Gebruikersavatar
John_de_Vries
Berichten: 246
Lid geworden op: 20 feb 2003, 12:58
Locatie: Oosterhout
Contacteer:
Contacteer John_de_Vries

Bericht door John_de_Vries » 08 dec 2003, 00:44

Ok ik heb het ook veranderd en geen problemen verders.
Alleen ik begrijp dat er met flag een gebrek of bug bedoelt wordt.
Maar er wordt gesproken over een beveiligingslek hiero dus ik ben
nieuwsgierig naar wat er nu fout kon/kan gaan?

John
Omhoog
nielsteusink
Berichten: 1
Lid geworden op: 10 dec 2003, 13:38

Bericht door nielsteusink » 10 dec 2003, 13:45

John_de_Vries schreef:(...)
Maar er wordt gesproken over een beveiligingslek hiero dus ik ben
nieuwsgierig naar wat er nu fout kon/kan gaan?
Het komt erop neer dat gebruikers met minder goede bedoelingen je (gecodeerde) wachtwoord kunnen achterhalen en daarmee op je forum kunnen inloggen met jouw account. Dit is mogelijk doordat zo'n aanvaller de SQL query aan kan passen die search.php uitvoert en daarmee gegevens uit andere tabellen kan halen (dus ook de tabel met gebruikers en wachtwoorden). Dit alles natuurlijk als je de patch niet installeert.

Het lek is naar mijn mening wat ernstiger dan dat phpbb.com het heeft ingeschat. Een (arabische?) hackersgroep heeft inmiddels al een url openbaar gemaakt die werkt als het forum een mysql4 database gebruikt.
Omhoog
Gebruikersavatar
John_de_Vries
Berichten: 246
Lid geworden op: 20 feb 2003, 12:58
Locatie: Oosterhout
Contacteer:
Contacteer John_de_Vries

Bericht door John_de_Vries » 10 dec 2003, 14:07

Hey bedankt voor de uitleg, bij zoiets hoort groot alarm vind ik.
Zo is men in staat je hele forum te vernielen.

John
Omhoog
Gebruikersavatar
WebSiteNet
Berichten: 6524
Lid geworden op: 20 okt 2003, 16:56
Locatie: Wieringerwerf
Contacteer:
Contacteer WebSiteNet

Bericht door WebSiteNet » 10 dec 2003, 16:23

Lees verder: http://www.phpbb.nl/viewtopic.php?t=5887
Omhoog
Gesloten

Terug naar “2.0 Discussie”