Zurück   klamm-Forum > klamm.de > Abuse & Kontakt zum Team

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 29.08.2008, 15:52:00   #31 (permalink)
Erfahrener Benutzer
Benutzerbild von matak

ID: 310064
Lose-Remote

Reg: 27.01.2008
Beiträge: 830
Standard

Zitat:
Zitat von Tauschsystem24 Beitrag anzeigen
Ich habe soeben Slotoase mal mit Acunetix gescannt (übrigens ein super Programm).

Im Script wurden zum Glück keine Sicherheitslücken gefunden.

Ich habe wie schon geschrieben alle Passwörter geändert und den Adminbereich zusätzlich noch mit htaccess passwort geschützt.

Es wurden genau 230mio ausgezahlt.
Eine Klage werde ich nicht einreichen - gegen wen auch?

du könntest eine Klage gegen unbekannt einreichen wobei es sich bei der Losemenge sowiso nicht lohnt würde ich sagen
Ref-Mailer 46Refs
Poppelt sooder so aber nicht Anonym
matak ist offline   Mit Zitat antworten
Alt 29.08.2008, 16:38:39   #32 (permalink)
Nerds2²ever
Benutzerbild von No5251

ID: 8850
Lose-Remote

No5251 eine Nachricht über ICQ schicken
Reg: 02.06.2006
Beiträge: 1.559
Standard

Es geht bei sowas ja auch weniger um die Lose, sondern
darum, dass ein System angegriffen wurde.
Ich habe vor 2 Jahren bei einem ähnlichen Fall Anzeige gegen
unbekannt erstattet, der Polizei die entsprechenden Auszüge
der Logfile zukommen lassen und keine 2 Wochen später hatten
sie den Typen. Der war so bescheuert und hat direkt vom Büro
und von zu Hause aus angegriffen.
greetz
</no5251>


No5251 ist offline   Mit Zitat antworten
Alt 29.08.2008, 17:32:26   #33 (permalink)
Erfahrener Benutzer
Benutzerbild von Meisterklicker

ID: 303712
Lose-Remote

Reg: 19.11.2007
Beiträge: 1.717
Standard

gibt es solche Prüfsoftware auch in deutsch?
 
Meisterklicker ist offline   Mit Zitat antworten
Alt 29.08.2008, 20:36:40   #34 (permalink)
Erfahrener Benutzer
Benutzerbild von matak

ID: 310064
Lose-Remote

Reg: 27.01.2008
Beiträge: 830
Standard

Zitat:
Zitat von No5251 Beitrag anzeigen
Es geht bei sowas ja auch weniger um die Lose, sondern
darum, dass ein System angegriffen wurde.
Ich habe vor 2 Jahren bei einem ähnlichen Fall Anzeige gegen
unbekannt erstattet, der Polizei die entsprechenden Auszüge
der Logfile zukommen lassen und keine 2 Wochen später hatten
sie den Typen. Der war so bescheuert und hat direkt vom Büro
und von zu Hause aus angegriffen.
99% haben sowiso keine ahnung und benutzen nur irgendwelche programme, man schaue sich nur die vielen Foren an.

Und dann keinen Proxy benutzen löl
Ref-Mailer 46Refs
Poppelt sooder so aber nicht Anonym
matak ist offline   Mit Zitat antworten
Alt 30.08.2008, 11:35:41   #35 (permalink)
Nerds2²ever
Benutzerbild von No5251

ID: 8850
Lose-Remote

No5251 eine Nachricht über ICQ schicken
Reg: 02.06.2006
Beiträge: 1.559
Standard

Dumme kleine Scriptkiddies ohne Plan der Gesetzeslage eben ... meistens.
greetz
</no5251>


No5251 ist offline   Mit Zitat antworten
Alt 31.08.2008, 02:52:03   #36 (permalink)
dev.
Benutzerbild von Maddin

ID: 234104
Lose-Remote

Maddin eine Nachricht über Skype™ schicken
Reg: 24.04.2006
Beiträge: 2.951
Standard

Tjoa und dann gucken die blöd wenn die erwischt werden: "Was? ICH? Neiiiin...".

Aber dieser Beitrag hat mich dazu gebracht eine kleine aber nützliche Funktion für meine neue Seite zu schreiben:

~~ Lieber nicht ~~

Und schon sieht man alle SQL Injection Versuche und auch von wem sie kommen

Natürlich sieht man auch ganz normale GET Variablen, aber falls ein User mal ne SQL Injection machen sollte und man auch weiß welcher User das war muss man nicht lange suchen und man hat die Lücke *gg*

Vielleicht nutzt das jemanden etwas

Geändert von Maddin (31.08.2008 um 14:09:55 Uhr)
Maddin ist offline   Mit Zitat antworten
Alt 31.08.2008, 10:14:02   #37 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Das ist ja wohl nicht dein Ernst.

1. Tut deine Funktion genau das Gegenteil von dem, was sie soll: Sie öffnet Sicherheitslücken - zumindest bei magic_quotes = OFF.
Man kann sowohl über $name als auch über $value etwas einschleusen.
2. Ich find dieses Denglisch furchtbar. getSecurity() oder hole_sicherheit(), aber bitte nicht gemixt.
getSecurity() sollte es aber auch nicht heißen, denn die Funktion "holt" () keine Sicherheit, sondern sie erstellt ein Logfile.
3. Ist dir eigentlich klar, was passiert, wenn du täglich so in etwa 50.000 Seitenaufrufe hast, mit jeweils 3-7 GET-Parametern?
Das würde pro Tag ~250k SQL-Einträge machen. Was das nach einem Monat, oder einem Jahr, an unnützem Datenmüll erzeugt, das darfst du dir wohl ausrechnen ...
(und vor allem: wer soll diese Logfiles durchsehen und analysieren?)
 
raven ist offline   Mit Zitat antworten
Alt 31.08.2008, 12:36:27   #38 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.550
Standard

Zusätzlich zu ravens Ausführungen, die ich 100% so unterschreiben würde: das Ziel kann ja wohl nicht die Protokollierung von Bugs sein, sondern die Vermeidung!

Es ist schon ein Unding, direkt auf $_GET zuzugreifen! In meinen Scripten gibt es Funktionen "getin_int", "getin_string" etc. Bei vielen Parametern weiß man nämlich, dass es nur INTs sein dürfen. Also wird in getin_int schon mal alles rausgeschmissen, was keine Ziffer ist. Nur diese Funktionen greifen auf die Eingabeparameter (get/post) zu, und bei den meisten weiß man auch, ob sie als GET oder POST können müssen. An keiner anderen Stelle im ganzen Script wird dann mehr $_GET oder $_POST benutzt. Bei getin_string sind dann auch nur \w erlaubt, und eine spezielle Funktion getin_other reicht ein paar mehr Zeichen durch, aber auch da wird sorgfältig gefiltert.

Aber Vorschläge wie von maddin zeigen, auf welchem Niveau hier "programmiert" wird. Und viele "Webbis" übernehmen solchen Code ungeprüft. Und wundern sich dann, wenn was passiert.
.
Mone ist offline   Mit Zitat antworten
Alt 31.08.2008, 13:03:00   #39 (permalink)
back from H3ll
Benutzerbild von H3llh4mm3r

ID: 51455
Lose-Remote
Abwesend

H3llh4mm3r eine Nachricht über ICQ schicken
Reg: 21.04.2006
Beiträge: 3.817
Standard

ich versteh von eurem blabla zwar nur bahnhof aber es hört sich zumindestens klasse an ^^
Dies ist nicht irgendeine Signatur das ist meine - Du willst sie? Kein Thema ich bin käuflich!


Geändert von H3llh4mm3r (32.01.2008 um 26:24:14 Uhr).
H3llh4mm3r ist offline   Mit Zitat antworten
Alt 31.08.2008, 14:09:21   #40 (permalink)
dev.
Benutzerbild von Maddin

ID: 234104
Lose-Remote

Maddin eine Nachricht über Skype™ schicken
Reg: 24.04.2006
Beiträge: 2.951
Standard

Stimmt, ihr habt vollkommen recht
Tut mir leid...werde nie wieder um 3 Uhr nachts irgendwelche Funktionen proggen

Ich editiere das lieber raus sonst übernimmt das echt einer

Edit
@ Mone:

Jo, ich habe auch viele Gets wie z.B. limit und bei diesen Prüfe ich dann auch, ob es eine Zahl ist.

Aber man kann sich ja nie sicher genug sein, wenn man sieht was ich für Scheiße baue und es nichtmal gemerkt hätte wenn ich es nicht hier hin gepostet hätte

Geändert von Maddin (31.08.2008 um 14:20:07 Uhr)
Maddin ist offline   Mit Zitat antworten
Alt 01.09.2008, 22:29:34   #41 (permalink)
drauf und dran

ID: 324915
Lose-Remote

Reg: 23.07.2008
Beiträge: 127
Standard

Zitat:
ich versteh von eurem blabla zwar nur bahnhof aber es hört sich zumindestens klasse an ^^
Bist aber Admin!? Interessant...
 
Zyniker ist offline   Mit Zitat antworten
Alt 01.09.2008, 23:37:25   #42 (permalink)
dev.
Benutzerbild von Maddin

ID: 234104
Lose-Remote

Maddin eine Nachricht über Skype™ schicken
Reg: 24.04.2006
Beiträge: 2.951
Standard

Zitat:
Zitat von zdabob Beitrag anzeigen
Bist aber Admin!? Interessant...
Naja muss ja deshalb nicht Coden können
Maddin ist offline   Mit Zitat antworten
Alt 01.09.2008, 23:49:16   #43 (permalink)
back from H3ll
Benutzerbild von H3llh4mm3r

ID: 51455
Lose-Remote
Abwesend

H3llh4mm3r eine Nachricht über ICQ schicken
Reg: 21.04.2006
Beiträge: 3.817
Standard

deswegen bin ich auch nur einer von 3 Admins, denn mit im Team ist neben mir noch Raven (Gerüchten zu Folge kann der nen bissel coden) sowie Nightwalker
Dies ist nicht irgendeine Signatur das ist meine - Du willst sie? Kein Thema ich bin käuflich!


Geändert von H3llh4mm3r (32.01.2008 um 26:24:14 Uhr).
H3llh4mm3r ist offline   Mit Zitat antworten
Alt 02.09.2008, 00:04:38   #44 (permalink)
WeSoKo.de

ID: 216076
Lose-Remote

kangoo23 eine Nachricht über ICQ schicken
Reg: 23.04.2006
Beiträge: 2.495
Standard

Will zwar nicht alzuviel OFF-Topic machen
aber hat sich einer schonmal über folgenden Code gedanken gemacht?

PHP-Code:
1:
2:
3:
foreach ($_GET as $key => $value){
  
$_GET[$key] = mysql_real_escape_string($value);

das ganze dann natürlich noch mit $_POST und $_REQUEST.

Wäre das nicht schonmal ein kleiner Ansatz?

Geändert von kangoo23 (02.09.2008 um 00:25:32 Uhr)
kangoo23 ist offline   Mit Zitat antworten
Alt 02.09.2008, 07:32:44   #45 (permalink)
drauf und dran

ID: 324915
Lose-Remote

Reg: 23.07.2008
Beiträge: 127
Standard

Zitat:
Naja muss ja deshalb nicht Coden können
Nö aber bisschen Plan solllte man haben. Siehst ja was sonst passiert.:P
 
Zyniker ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Hackerangriff auf mailread.de chocoman Paid4 - News & Infos 97 24.03.2008 00:27:23
Hackerangriff auf Losedepot.de Kriegstreiber Lose-Talk 8 28.02.2007 20:14:39
Hackerangriff auf edv-klinik.de? T-Offline Scripts & Software 7 13.11.2006 21:41:47
Hackerangriff-> Daten weg Lolator Webhosting 3 02.10.2006 20:03:52


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:58:08 Uhr.