Zurück   klamm-Forum > klamm-Lose > Lose4Scripts

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 09.01.2009, 17:37:07   #31 (permalink)
Erfahrener Benutzer

ID: 300000
Lose-Remote
Abwesend

Reg: 19.10.2007
Beiträge: 2.203
Standard

Läuft die Urversion welche auf einschlägigen Browsergameseiten 2007 beworben wurde noch irgendwo?
 
Pamtano ist offline   Mit Zitat antworten
Alt 09.01.2009, 17:39:13   #32 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von FlashRevolution Beitrag anzeigen
Versteh mich nicht falsch, ich will nicht sagen, dass das was du anbietest schlecht ist, denn ich kenne den Code ja nicht.
Ich kenne den Code auch nicht, kann aber sagen, dass es das ist !!!
Alleine die Anmeldung hat schon eine XSS-Lücke (Bernutzername wird nicht gefiltert), leider hast du die Länge auf 20 Zeichen begrenzt, sonst hätte ich nen schönes Beispiel machen können, so habe ich einfach nur Html-Injected (Admin habe ich fettschreiben lassen).

Und da ich NUR die Anmeldung angeschaut habe, vermute ich mal, dass deutlich mehr dadrinne ist.
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 10.01.2009, 00:05:13   #33 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
Ich kenne den Code auch nicht, kann aber sagen, dass es das ist !!!
Alleine die Anmeldung hat schon eine XSS-Lücke (Bernutzername wird nicht gefiltert), leider hast du die Länge auf 20 Zeichen begrenzt, sonst hätte ich nen schönes Beispiel machen können, so habe ich einfach nur Html-Injected (Admin habe ich fettschreiben lassen).

Und da ich NUR die Anmeldung angeschaut habe, vermute ich mal, dass deutlich mehr dadrinne ist.
Ich hab ja auch nich gesagt, dass es perfekt ist.

mir haben außerdem tester gefehlt, um halt solche lücken zu fixen.

Durch deinen "versuch" werde ich natürlich eine Änderung durchführen und die änderung als kostenfreies update anbieten.

------------

Bei dem Preis könnt ihr euch bei ice-breaker bedanken. Der hat sich ja beklagt, warums so billig wäre.

MFG
NeoGriever
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 00:20:19   #34 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard Wichtiges update

Unter

http://www.ladshoch.de/shareportal/a...169280137B4234

könnt ihr nun den von ice-breaker beschriebenen Fehler korrigieren und somit diese Sicherheitslücke schließen.

Passwort ist das gleiche, wie das Hauptarchiv.
Die readme.txt sagt, wohin damit.

MFG
NeoGriever
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 00:21:27   #35 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von Pamtano Beitrag anzeigen
Läuft die Urversion welche auf einschlägigen Browsergameseiten 2007 beworben wurde noch irgendwo?
Die (im wahrsten Sinne des Wortes) schwarze Version läuft nicht mehr und hat auch einen schweren Systemabsturz nicht überlebt. Sie ist schlicht und einfach ausgestorben.

MFG
NeoGriever
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 00:39:12   #36 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
Ich kenne den Code auch nicht, kann aber sagen, dass es das ist !!!
Alleine die Anmeldung hat schon eine XSS-Lücke (Bernutzername wird nicht gefiltert), leider hast du die Länge auf 20 Zeichen begrenzt, sonst hätte ich nen schönes Beispiel machen können, so habe ich einfach nur Html-Injected (Admin habe ich fettschreiben lassen).

Und da ich NUR die Anmeldung angeschaut habe, vermute ich mal, dass deutlich mehr dadrinne ist.
Großer. Es ist aber echt voll Vorurteilhaft, ein komplettes, über 300-dateien großes BG als "schlecht" abzustempeln, nur weil man einen gröberen Fehler drin hatte.

Aber wie du meinst. Wenn du mal irgendwas anbietest, werd ich auch so pingelig sein und bei jedem kleinen Haar in der Suppe, den Kellner ermorden.

So schwarzseher wie du sind echt unbeliebt.

Is zwar gut, dass du die lücken ausprobierst. Aber es nicht gut, dass du das gleich an den Pranger hängst und alles schlecht sagst.

Hätteste das einfach mal so per PN gesagt, wärs ok gewesen und ich hätte vielleicht überlegt, dich mit dem Aufspüren von XSS-Lücken als Tester mit ein paar Losen zu Bezahlen. Wenns auch net viel gewesen wär.

Naja. Hast es dir halt selbst vermasselt. Hab ich halt nen Tipp bekommen, ohne was für zu bezahlen. Chance vertan :P

MFG
NeoGriever
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 09:59:41   #37 (permalink)
Programmierer

ID: 63583
Lose-Remote
Reallife

Reg: 24.04.2006
Beiträge: 1.799
Standard

Zitat:
Großer. Es ist aber echt voll Vorurteilhaft, ein komplettes, über 300-dateien großes BG als "schlecht" abzustempeln, nur weil man einen gröberen Fehler drin hatte.
nachdem ich es geschafft habe das Archiv zu entpacken... hab ich mir die Dateien mal angesehen... icebreaker hat leider recht... Ich habs geschafft innerhalb von 2 Minuten mir zig tausend Credits gutzuschreiben, alle Daten schön auszulesen. undundund... ;-)

Tut mir leid, aber jetzt versteh ich warum der Preis so niedrig ist, denn viel mehr Wert ist dies leider nicht... (was die Sicherheit angeht... -> Spielspaß hab ich noch nicht getestet ;-))
Sunwebworks ist offline   Mit Zitat antworten
Alt 10.01.2009, 12:11:49   #38 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von Sunwebworks Beitrag anzeigen
nachdem ich es geschafft habe das Archiv zu entpacken... hab ich mir die Dateien mal angesehen... icebreaker hat leider recht... Ich habs geschafft innerhalb von 2 Minuten mir zig tausend Credits gutzuschreiben, alle Daten schön auszulesen. undundund... ;-)

Tut mir leid, aber jetzt versteh ich warum der Preis so niedrig ist, denn viel mehr Wert ist dies leider nicht... (was die Sicherheit angeht... -> Spielspaß hab ich noch nicht getestet ;-))
Wenn ihr euch alleine (ohne unterstützung von anderen) dransetzt, ein komplettes Browsergame zu bauen, dann wirds ja wohl kaum absolut perfekt werden ... außerdem hatte ich zu dem zeitpunkt noch lange nich genug php/mysql/css/js/ajax &co drauf, dass ich mich wirklich um alles hätte kümmern können.
Ihr seid echte Pessimisten.
Anstelle es nieder zu machen und mir mein Geschäft zu versauen könntet ihr doch helfen, diese Fehler zu beheben ...

Das browsergame ist ein Homemade-Projekt, welches ich vollkommen alleine entworfen habe. Dafür, dass die sicherheit "einige" schwächen aufweißt und für "normalsterbliche" user nie in betracht kämen, ist es ein recht gelungenes Browsergame.

Was ich halt bei der programmierung nicht beachtet hab, lässt sich einfach per Nachbearbeitung korrigieren. DAFÜR BRAUCH ICH ABER HILFE!

Wenn es nur solche leute wie euch gäbe, würde die ganze wirtschaft stagnieren. Denn ihr redet alles schlecht und reißt die kleinste lücke zu einem klaffenden Canyon auf. Ich find sowas unter aller Sau.

Also: Anstelle alles anzuprangern, solltet ihr mir wenigstens sagen, WO diese lücken sind, damit ich mich drum kümmern kann.

...
---------------------------------------------------------------
Verkauf vorzeitig eingestellt
Bedankt euch bei den Schwarzsehern hier
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 12:24:38   #39 (permalink)
Programmierer

ID: 63583
Lose-Remote
Reallife

Reg: 24.04.2006
Beiträge: 1.799
Standard

aha... helfen wir dir nicht, wenn wir sagen, das das gesamte Script sicherheitslücken besitzt? Sollen wir die jetzte jede Zeile auflisten? Das geh die Dateien durch und schau dir jede Zeile an.

Meinst du icebreaker und ich programmieren nicht selber? wir wissen was es für Arbeit ist und sagen dir, dass es sehr gefährlich werden kann mit diesen Sicherheitslücken.

PS: Man kann ein Browsergame alleine perfekt umsetzen.

Aber naja, ich brauch dir ja hier nichts mehr schreiben, denn auf die Schwarzsehern hast du ja keine Lust...
Sunwebworks ist offline   Mit Zitat antworten
Alt 10.01.2009, 12:36:23   #40 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von Sunwebworks Beitrag anzeigen
Meinst du icebreaker und ich programmieren nicht selber? wir wissen was es für Arbeit ist und sagen dir, dass es sehr gefährlich werden kann mit diesen Sicherheitslücken.
rund ~30-40% meiner Arbeitszeit beim programmieren geht dabei drauf jegliche mögliche (bekannte) Sicherheitslücke vorher zu sichern.


Was wir dir einzig klar machen wollten, dass du vllt fertig lernen solltet, oder dich mit der Sicherheit (das ist auch nicht das beste oder neuste Dokument, aber zeigt mal die Vielfalt von Schwachstellen) beschäftigen solltest, bevor du irgendetwas verkaufst oder gar ein Browsergame baust.
Denn gerade bei Browsergames treten doch statistisch auf Grund der hohen Dynamik mehr mögliche Lücken auf, und schon eine alleine kann den ganzen Spielspaß zunicht machen, wenn jemand anders sich irgendetwas ercheaten kann.
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 10.01.2009, 13:00:42   #41 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard Wichtiges Update!



WICHTIGES UPDATE

Nun wurden zahlreiche lücken behoben, welche (wie hier im Forum angeprangert) zu XSS-Lücken führten. Es sind wahrscheinlich noch nicht alle Lücken beseitigt. Jedoch dürfte dieses Update-Pack vorerst genügen.

Bitte möglichst die Dateien manuell in die entsprechenden Ordner verschieben.

Hier gibts den Download-Link:
Dein Download-Link:
http://www.ladshoch.de/shareportal/a...84512D7A5380E4

Passwort ist nach wie vor das gleiche.

WICHTIGES UPDATE

 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 13:08:21   #42 (permalink)
ToWi-Photography
Benutzerbild von wittis-web.de

ID: 31480
Lose-Remote

wittis-web.de eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 22.739
Standard

Zitat:
Zitat von NeoGriever Beitrag anzeigen
Kurzzeitiger Aktionspreis (galt bis 16:00 Uhr 08.10.09): 2.000.000 Lose
Kurzzeitiger Aktionspreis (galt bis 16:00 Uhr 09.10.09): 25.000.000 Lose
Vorheriger Preis (galt bis 02:30 Uhr 10.10.09): 500.000.000 Lose
Aktueller Preis: 200.000.000 Lose


ich schicke dir dann die 2Mio, gilt ja noch bis zum 8.10.09
wittis-web.de ist offline   Mit Zitat antworten
Alt 10.01.2009, 13:16:51   #43 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
rund ~30-40% meiner Arbeitszeit beim programmieren geht dabei drauf jegliche mögliche (bekannte) Sicherheitslücke vorher zu sichern.


Was wir dir einzig klar machen wollten, dass du vllt fertig lernen solltet, oder dich mit der Sicherheit (das ist auch nicht das beste oder neuste Dokument, aber zeigt mal die Vielfalt von Schwachstellen) beschäftigen solltest, bevor du irgendetwas verkaufst oder gar ein Browsergame baust.
Denn gerade bei Browsergames treten doch statistisch auf Grund der hohen Dynamik mehr mögliche Lücken auf, und schon eine alleine kann den ganzen Spielspaß zunicht machen, wenn jemand anders sich irgendetwas ercheaten kann.
Ähm. Ich habe keine direkte ausbildung zum webdesigner oder sonst was in der richtung. Auf dem Papier bin ich nur ausgebildete Bürofachkraft mit "einigen" Nebenfähigkeiten. (welche natürlich net mit aufgelistet werden <.<)

Mit Sicherheit konnte ich mich bisher nicht so befassen, weil (wie schon mehrfach erwähnt) ich keine Hilfe hatte. Ich habe mir HTML, CSS, JS, PHP und MySql komplett selber beigebracht. Ohne irgend einen Lehrer oder sonstwen. Allein die tatsache, dass ich damit gerade mal vor 4 jahren angefangen habe, spricht doch für enormen fortschritt.

Ich wäre euch sehr verbunden, wenn ihr mir bei der Lückensuche unter die Arme greifen würdet.

Hab jetzt mal überall, wo ne Mysql-abfrage durchgeführt wird, ein mysql_escape_string() um $_POST und $_GET-Variablen gepackt. (natürlich auch verschachtelte). Das dürfte viele lücken erstmal schließen.

Was ich noch als "ziele" ansteuern muss, weiß ich nicht. Verzeichnisauflistungen sind recht effektiv durch rückleitende index.php-files geschützt, da ich nicht weiß, wie man das per htaccess macht.

Also Wäre echt froh, wenn mir mal wer helfen würde. (is übrigens das 4te Forum, wo ich inzwischen ein wenig hilfe suche. Wär echt froh, wenn sich da mal EINER zu bereiterklären würde ...)

Und: Nix für ungut für meine schorfe art vom letzten Beitrag. Eure Beiträge kommen dort nämlich so rüber: "Ahh. Ich kann dort ne lücke ausnutzen und dort ne lücke ausnutzen ... das game is schrott" ... War halt so.

Naja.

MFG
NeoGriever
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Alt 10.01.2009, 13:18:04   #44 (permalink)
Erfahrener Benutzer
Benutzerbild von NeoGriever

ID: 348575
Lose-Remote

Reg: 24.06.2008
Beiträge: 1.050
Standard

Zitat:
Zitat von wittis-web.de Beitrag anzeigen
ich schicke dir dann die 2Mio, gilt ja noch bis zum 8.10.09
STOP!

Das war nen Tippfehler!!


Gut, dass du mich drauf aufmerksam gemacht hast. O_o Sry.

Aber aus gutem Willen geb ichs dir noch für die 2mio.

Danach isses 200mio!
 
NeoGriever ist offline Threadstarter   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[Auktion] Browsergame Germacus.de Komplettes Browsergame money-sms Lose4Scripts (erledigt) 41 03.09.2008 09:31:03
BrowserGame Davdy Lose4Scripts 11 01.06.2008 22:26:14


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:25:34 Uhr.