Zurück   klamm-Forum > klamm.de > Abuse & Kontakt zum Team

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 14.05.2009, 15:50:02   #46 (permalink)
Erfahrener Benutzer

ID: 217591
Lose-Remote

Aradiv eine Nachricht über ICQ schicken Aradiv eine Nachricht über MSN schicken
Reg: 20.04.2006
Beiträge: 1.683
Standard

ich vermute das script hat eine sicherheitslücke über die das auslesen dieser Daten möglich ist den auch lose2earn hat das selbe script.

Bitte lasst das script mal ausfürhlich durchtesten.
Und soweit ich das beurteilen kann kommen die Daten nur von Seiten die dieses Script verwendet haben.

Mfg
Aradiv
 
Aradiv ist offline   Mit Zitat antworten
Alt 14.05.2009, 16:01:35   #47 (permalink)
Erfahrener Benutzer

ID: 465838
Lose-Remote

Reg: 28.04.2006
Beiträge: 848
Standard

Das Script wird gerade ausführlich auf Sicherheitslücken getestet. Ich weiß aber bereits wie er an die Daten gekommen ist, so sie denn wirklich alle von Paid2Earn stammen und nicht noch von anderen Seiten.
 
HamburgerJungx ist offline   Mit Zitat antworten
Alt 14.05.2009, 17:59:46   #48 (permalink)
nicht verfügbar

ID: 305098
Lose-Remote

Reg: 03.12.2007
Beiträge: 4.993
Standard

Zitat:
Zitat von HamburgerJungx Beitrag anzeigen
Das Script wird gerade ausführlich auf Sicherheitslücken getestet. Ich weiß aber bereits wie er an die Daten gekommen ist, so sie denn wirklich alle von Paid2Earn stammen und nicht noch von anderen Seiten.
Ist denn wenigstens die Sicherheitslücke auch den anderen Betreibern bekannt und haben diese ein Fix bekommen?
Freesnooze ist offline   Mit Zitat antworten
Alt 14.05.2009, 18:05:45   #49 (permalink)
Erfahrener Benutzer

ID: 465838
Lose-Remote

Reg: 28.04.2006
Beiträge: 848
Standard

Ja, direkt nachdem der Fehler gefunden wurde, wurden alle Webmaster dieses Scriptes informiert.
 
HamburgerJungx ist offline   Mit Zitat antworten
Alt 14.05.2009, 18:55:35   #50 (permalink)
Die Ente unter uns
Benutzerbild von Entenhausen33

ID: 295691
Lose-Remote

Entenhausen33 eine Nachricht über MSN schicken
Reg: 15.09.2007
Beiträge: 6.044
Standard

Wie konnte denn der Hacker diese Sicherheitslücke nutzen ?
 
Entenhausen33 ist offline   Mit Zitat antworten
Alt 14.05.2009, 19:45:49   #51 (permalink)
IMG-Load.de
Benutzerbild von gfxclub

ID: 103343
Lose-Remote

gfxclub eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 723
Standard

Ich denke nicht das das was zur sache bei Trägt da es eventuell noch Seiten gibt die das Fix nicht aufgespielt haben.

Die Betreiber die das Script nutzen werden wenn Sie ein wennig Ahnung haben am Fix sehen woran es lag...
GFXclub
gfxclub ist offline   Mit Zitat antworten
Alt 14.05.2009, 19:48:23   #52 (permalink)
Die Ente unter uns
Benutzerbild von Entenhausen33

ID: 295691
Lose-Remote

Entenhausen33 eine Nachricht über MSN schicken
Reg: 15.09.2007
Beiträge: 6.044
Standard

Zitat:
Zitat von gfxclub Beitrag anzeigen
Ich denke nicht das das was zur sache bei Trägt da es eventuell noch Seiten gibt die das Fix nicht aufgespielt haben.

Die Betreiber die das Script nutzen werden wenn Sie ein wennig Ahnung haben am Fix sehen woran es lag...
Klar, aber wenn alle das Fix aufgespielt haben, kann man es doch dann wissen, oder ?
Ist nämlich interessant
 
Entenhausen33 ist offline   Mit Zitat antworten
Alt 14.05.2009, 20:26:19   #53 (permalink)
IMG-Load.de
Benutzerbild von gfxclub

ID: 103343
Lose-Remote

gfxclub eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 723
Standard

Muss natürlich HamburgerJungx entscheiden ist sein Script.

Aber als Kunde würde ich das Persönlich nicht so gut finden... ...gerade wenn es Sicherheitslücken sind die auch jedes andere Script haben könnte...
GFXclub
gfxclub ist offline   Mit Zitat antworten
Alt 14.05.2009, 20:33:48   #54 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Ich hab mir das Script angeschaut und Fehler gesucht, und bin dabei auf den groben Fehler gestoßen welchen ich dann Holstenjungs (HamburgerJungx) mitgeteilt habe.

Aber wirklich ausnutzen konnten den Bug nur Leute welche das Script haben. Durch probieren wäre das kaum möglich. Wie man das ausnutzt werde ich nicht sagen (auch nicht per PN, im anderen Forum kamen schon Fragen wie das geht... natürlich immer nur zu Testzwecken ist Klar ).

Es war aber keine SQL Injection oder so, nein - wer das Script selbst hat, weiß wo das Script täglich die Datenbank-Backups speichert. Und der Ordner wo die gespeichert wurden, war für jedermann öffentlich zugänglich, man musste nur wissen wo die gespeichert werden (und das weiß imho jeder der das Script hat) .

Holstenjungs hat aber ja laut eigener Aussage einen Fix an die Inhaber des Scriptes rausgeschickt. Hab auch mal bei einigen Seiten vorhin getestet ob man noch aufrufen kann, und überall wo ich getestet habe ist nun Zugriff verweigert
 
27o8 ist offline   Mit Zitat antworten
Alt 14.05.2009, 21:35:07   #55 (permalink)
Der Erlöser
Benutzerbild von tobias1985

ID: 37913
Lose-Remote

tobias1985 eine Nachricht über ICQ schicken
Reg: 24.04.2006
Beiträge: 4.751
Standard

Zitat:
Zitat von Gremlin Beitrag anzeigen
Wie man das ausnutzt werde ich nicht sagen (auch nicht per PN, im anderen Forum kamen schon Fragen wie das geht... natürlich immer nur zu Testzwecken ist Klar ).
Zitat:
Zitat von Gremlin Beitrag anzeigen
wer das Script selbst hat, weiß wo das Script täglich die Datenbank-Backups speichert. Und der Ordner wo die gespeichert wurden, war für jedermann öffentlich zugänglich, man musste nur wissen wo die gespeichert werden (und das weiß imho jeder der das Script hat) .
Erst sagen, keiner bekommt die Info und dann schreiben was für ein Bug das war. Aber egal, Datenbank-Backups per HTACCESS schützen und gut ist. Was allerdings Backups auf dem gleichen Server bringen sollen, entzieht sich meiner Kenntnis.

Na wie dem auch sei, weiß man nun, wie es zustande kam. Da man auch weiß, wer den Bug genutzt hat, einfach Anzeige erstatten und derjenige wird in Zukunft sowas sein lassen. (hofft man zumindest)
- Nett sein kostet nichts und tut jedem gut -
- besser spät als gar nicht -
- Signatur ohne Werbung -
- Unberechtigte Kritik nehme ich zur Kenntnis, berechtigte Kritik zu Herzen. Es bleibt die Kunst, berechtigte und unberechtigte Kritik zu unterscheiden. -
tobias1985 ist offline   Mit Zitat antworten
Alt 14.05.2009, 21:48:56   #56 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Erst sagen, keiner bekommt die Info und dann schreiben was für ein Bug das war.
Naja mit Infos meinte ich nun den Pfad zu den Backups inklusive Aufbau der Backupdateinamen
 
27o8 ist offline   Mit Zitat antworten
Alt 14.05.2009, 21:55:03   #57 (permalink)
Der Erlöser
Benutzerbild von tobias1985

ID: 37913
Lose-Remote

tobias1985 eine Nachricht über ICQ schicken
Reg: 24.04.2006
Beiträge: 4.751
Reden

Zitat:
Zitat von Gremlin Beitrag anzeigen
Naja mit Infos meinte ich nun den Pfad zu den Backups inklusive Aufbau der Backupdateinamen
Na das wär auch etwas heftig gewesen.
- Nett sein kostet nichts und tut jedem gut -
- besser spät als gar nicht -
- Signatur ohne Werbung -
- Unberechtigte Kritik nehme ich zur Kenntnis, berechtigte Kritik zu Herzen. Es bleibt die Kunst, berechtigte und unberechtigte Kritik zu unterscheiden. -
tobias1985 ist offline   Mit Zitat antworten
Alt 14.05.2009, 21:58:44   #58 (permalink)
Erfahrener Benutzer
Benutzerbild von blu21

ID: 46597
Lose-Remote

blu21 eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 263
Standard

Hallo erschrekend muste ich festellen das meien daten auch drinnen sind ..

ahm was habt ihr bei der anzeige wie aus gefahlt..
was fur daten benötige ich dafür .. werde da auch eine anzeige machen weil das finde ich nicht lustig ..
blu21 ist offline   Mit Zitat antworten
Alt 14.05.2009, 22:05:15   #59 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Zitat:
Zitat von tobias1985 Beitrag anzeigen
Na das wär auch etwas heftig gewesen.
Proof of Concept
 
27o8 ist offline   Mit Zitat antworten
Alt 15.05.2009, 08:46:55   #60 (permalink)
Troddl
Benutzerbild von Maastaaa

ID: 22745
Lose-Remote
Reallife

Maastaaa eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 8.528
Standard Abuse ist kein "Laberforum": Kein SPAM, kein off topic!

@chrystal, muecke & HamburgerJungx: Klärt eure Probleme untereinander, aber nicht hier am Thema vorbei. Es geht hier um Lose-tempel.de und dem Vorwurf von Datenmissbrauch.
Die Beiträge habe ich gelöscht.
 
Maastaaa ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[Frage]Userdaten speichern MiD Scripts & Software 3 14.01.2009 00:05:59
[S] Script um Userdaten aus zu werten Chris2130 Lose4Scripts (erledigt) 13 17.09.2008 12:44:49
[V] Domain www.script-tempel.de + Banner Promizock Lose4Scripts (erledigt) 7 06.03.2008 21:13:19
[Auktion] Lose Surfbar Seite + Script + Userdaten money-sms Lose4Scripts (erledigt) 6 21.07.2006 09:28:10


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:07:53 Uhr.