Beveiligings problemen

[Witch hazel]

Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen. Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?
Groetjes Witch hazel

[Hans Kamp]

Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen.

Wat bedoel je precies? Bedoel je de modereerknoppen bij berichten en onderaan elk topic, en de link Ga naar Administratiepaneel onderaan elke pagina?

Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?

Met geGETte variabelen kun je de zaak nog neppen, maar met gePOSTe variabelen volgens mij niet. Ik kan dat vanavond eens tot op het bot napluizen.

[mosymuis]

Hoi hoi
Een vriend van mij vertelde me dat het nogal makkelijk schijnt te zijn voor hackers om de administrator-rol van een phpbb forum over te nemen. Dit zou te maken hebben met constante variable en het feit dat die zowel met post als get worden opgehaald. Als je dan dus achter de link met een ? de juiste variable zou invullen ben je binnen. Heeft iemand hier misschien wat meer informatie over. Is dit waar?? en zo ja kun je je er tegen beveiligen?
Groetjes Witch hazel

Dat is het zogenaamde PHP hacken, er zaten inderdaad verschillende bugs in phpBB waarmee je bijvoorbeeld de hash van het administrator password kon achterhalen. De laatste maanden is hier echter heel hard aan gewerkt door het phpBB team, wat te zien valt aan de snel opvolgende security updates. Als je nu v2.0.8a draait kan je ervan uitgaan dat je veilig bent.

[roel_lupoclb]

Dat is dus niet Veilig.

Op ons Forum http://www.lupoclub.nl schijn je nogal makkelijk binnen te kunnen komen en namen over te kunnen nemen.

Wie weet een oplossing hiervoor?

[mosymuis]

Op ons Forum http://www.lupoclub.nl schijn je nogal makkelijk binnen te kunnen komen en namen over te kunnen nemen.

Waarom denk je dat?

Wie weet een oplossing hiervoor?

Als er nog steeds security leaks zouden zitten in phpBB zijn die nog niet bekend, anders was er wel een fix voor. Als dit zo zou zijn weten wij dus ook niet wat eraan te doen.

[roel_lupoclb]

Dat weet ik omdat er dingen zijn gepost onder een naam van een member.

Die niet positief zijn ten opzichte van het Forum.

ik ben daar de Admin, maar ik heb echt geen id wat het zou kunnen zijn.

Ik heb wel alles beveiligd gisteren, zodat gasten alleen nog op het forum kunnen komen en de topics kunnen lezen, voor de rest, wat ze ook aanklikken daar hebben ze een login voor nodig.

Voor de rest zou ik niet weten wat ik zou moeten doen om het te beveiligen.

[mosymuis]

Dat weet ik omdat er dingen zijn gepost onder een naam van een member.

Dan is die member waarschijnlijk zelf niet voorzichtig met zijn wachtwoord omgegaan; het is erg onwaarschijnlijk dat een hacker een nog niet bekende exploit zou gebruiken op jouw forum om enkel een berichtje te plaatsen.

[roel_lupoclb]

Zoiets dacht ik ookal.

Of hij loopt zelf de boel te verzieken en zegt dat een ander het was.