[Gelöst]Warnung vor Besucher-Oase.de

Hi,

@Sonee: Die PN von deinem Berater(EDIT: Der Progger ist er nicht, wie gerade noch angenommen) klang etwas anders:

Hi,
habe gerade deinen Thread gelesen.
Nun meine Frage:
Wärst du in der Lage diese XSS Lücken zu schließen?
Wärst du überhaupt bereit dazu,dies auf besagter Seite zu erledigen?
Was bräuchtest du dazu(FTP,DB,Adminzugang)???
Den Betreibern der Seite ist sehr daran gelegen dieses Problem SOFORT zu erledigen.Da diese aber nicht recht wußten mit deinen "Vorwürfen" umzugehen,da man ja nicht wissen kann wer es gut oder schlecht meint.
Sie baten mich,zu kurzfristig um Rat-hab beiden angeboten dich zu kontaktieren,womit beide einverstanden waren.Was zeigt das an der Problemlösung wirklich gelegen ist.Und sie dieses ernst nehmen.Spät,aber immerhin.
Zum Vergrößern anklicken....

Ja, es ist wahr, dass du immer reagiert hast, etwas anderes wurde nie unterstellt, aber es ist genauso wahr, dass bis Heute (!!) dieser Fehler nachweislich !! (schau dir meine PN's an, die ich an mich selbst schrieb) vorhanden ist. Das betrifft vor allem das PN-Addon, welches nach meinen Informationen nicht zum FWX gehört noch betroffen war.

BTW: Ich habe auf die PN geantwortet, dass es an der Zeit ist htmlspecialchars/htmlentities (mit EN_QUOTES) an der richtigen Stelle des PN-Systems einzusetzen um dieses abzusichern.

Somit:
@EseDompteur: Ich habe das derzeitige FWX nicht getestet und kann dazu nichts sagen, außer dieser einen Lücke im PN-Addon. Gerne kannst du auf die Oase gehen und es anhand meines Codes von oben selber testen, ob es geht, mein letzter Stand ist: Ja,es geht. siehe weiter oben (durch meinen PN-Eingang in der Oase wird dieses auch bewiesen!)

@ewin: Ich schätze jetzt ca. 1 Monat seitdem ich es bemerkt habe.

Gruß
Drakor
 
Zuletzt bearbeitet:
EselDompteur schrieb:
@ewin12k ... sicherlich hast du recht, aber leider gottes gibt es gug Leute mit der entsprechend kriminellen Energie um eben genau dannach zu handeln um anderen zu schaden.
Zum Vergrößern anklicken....

Also wenn jamend "rumprobiert" und den Webby über die Ergebnisse informiert, setze ich mal Wissensdrang onder Langeweile vorraus 8)
 
SoneeDeluxe schrieb:
Es wurde innerhalb von 24 Stunden behoben...
Zum Vergrößern anklicken....

Mein Posteingang auf der Oase beweist eindeutig das Gegenteil, zumal auch die Demonstration für Dacuser, dass es geht auch erst ca. 1 Woche nach den ersten PN's kam.

Gruß
Drakor

PS: Solltest du mich entsperren, werde ich ein Bild meines Posteinganges/ausganges posten, welches eben das widerlegt.

Zumal ich auch nur das wiederholen kann, was ich dir bereits in der letzten PN schrieb: "Mir ist es mittlerweile nichtmehr unbedingt daran gelegen, dass du diese Lücken endlich behebst, sondern daran, die anderen User zu warnen, dass es sie gibt und dass sie bei dir ihre Lose aufs Spiel setzen."
 
Zuletzt bearbeitet:
MoonmanXL schrieb:
Also wenn jamend "rumprobiert" und den Webby über die Ergebnisse informiert, setze ich mal Wissensdrang onder Langeweile vorraus 8)
Zum Vergrößern anklicken....

... ja das kann ich unterstützen. ich will auch nicht sagen das der TS hier schadhaft handeln wollte. Also bitte nicht falsch verstehen ;)
Es ging nur um die rethorsische aussage. Leider denken nicht viele Progger daran auch an den Sicherheitsaspekt zu denken wenn Sie programmieren. Spätestens wenn das programmierte bei korrekter anwendung den zweck erfüllt ist es ein "fertiges release" ... nachbessern kann man später am kunden. Das haben schon andere namenhafte Hersteller vorgeführt und "etabliert"

lG
 
Ich möchte euch nochmal drauf hinweisen das Ich das Standart PN System aus dem FWX 2.3.6 nutze, es war also schon vorhanden und ist kein Addon!!! Von daher bin ich davon ausgegangen das es durch den Patch der innerhalb von 24 Stunden installiert wurde sicher ist...


LG

Sonee
 
Okay,

dann lass uns einen konstruktiveren Ansatz wählen:

Es steht außer Frage, der Fehler ist da, auch nach dem Patch, wie man meinen PN's entnehmen konnte.
Es interessiert mich deshalb auch ferner nicht, ob man gesagt hat dass das das sicherste Skript der Welt sei oder eben nicht, mein Wunsch an dich ist:

Behebe den nachweislich diesen (und alle anderen) Bug, mach das in Zukunft immer sofort und strapaziere nicht die Nerven deiner User oder setz sie irgendwelchen Gefahren aus und alles ist wieder in Ordnung.
Außerdem wärs nett, wenn du mir darüber hinaus meine Lose auszahlst. (inkl. derer in den Anteilen).

Gruß
Drakor
 
ich bin nach meiner Nachfrage der Sache auch schon auf den Grund gegangen und muss mal ne Lanze brechen.

Mein Patch hat augenscheinlich nur eine trügerische Sicherheit gegeben. Da das FWX immer noch kompromitiert werden konnte ( was ich mit deinem Schnippsel getestet habe ), bin ich der Ursache auf den Grund gegangen und habe das Patch entsprechend modifiziert. Dies ist auch schon installiert und sollte seinen Dienst nun korrekt verrichten. Im Forum sind für alle Webmaster entsprechend Ihrer Version auch aktuelle Patches online und sollten dringlichst ausgetauscht werden. Eine entsprechenden Hinweis habe ich hinterlassen.
 
Hi all,

also danke für das Patch @EselDompteur, der Bug im Pn-System ist nun definitiv behoben. es freut mich, dass das dann doch noch relativ schnell über die Bühne gegangen ist.

@Sonne,Eseldompteur: Ihr habt beide eine Antwort auf die PN.

Für die, die bereits gefragt haben: Nein, ich werde den Code zum Lose klauen nicht veröffentlichen, da ich damit ein Klamm-weites Chaos auslösen würde, denn die Besucher-Oase ist nicht die einzige Seite,bei der dieses Skript funktionieren würde.
Zudem wäre es illegal, wer sich mal die obigen Verweise auf die Paragraphen angeschaut hat. Ihr könnt sicher sein, dass ich mit dem Code nix weiter anstelle und ich hoffe, dass in einigen Wochen wirklich so ziemlich alle Seiten, die solche oder ähnliche (ja, davon gibts ne ganze Menge) Bugs haben/hatten sie behoben haben werden.

Zum Thread: Ich werd den bis Morgen Abend offen lassen für evtl. weitere Kommentare, danach wird er geschlossen und dann hoffentlich alsbald von einem Moderator entfernt/ins Archiv geschoben.

Gruß
Drakor
 
Topic Closed

Hi,

ich denke, diejenigen, die nochetwas hätten sagen wollen hätten genug Zeit gehabt, das Thema ist nun wie angekündigt:

GESCHLOSSEN und komplett Erledigt =).

Gruß
Drakor

@Mod: Bitte dann entsprechend behandeln.
 
ehrlich Oase war echt mal nun ne gute seite. nun aber voll mit neuen Admins oder wie man sie nenen kann, darf, ne eher nicht voll in den dreck gezogen.
voll dreck. Abzocke pur. mittlerweile. Finger weg. hundertete von Anteilen mal eben weg von nen Betreiber der ne Klamm ID hat die es nicht gibt. Beqweise vorhanden.

LG
 
gespeert wegen wahrheiten.
Da es um Anteile geht und somit um geld. wird es der Anwalt schon regeln. Anzeige wegen betrug ist schon raus. leider gegen enrico.
So sagt es das Gesetz in den Faqs und Verfasser stehen nun mal die gerade.

Betrug ist Betrug.
 
Also ehrlich Jonny,

ich bin echt zu tiefst erschüttert.
Ich will dir mal eben den Sachverhalt erklären den du nicht Wahrhaben willst, du hast, weil du vielleicht dich nach deinen persönlichen Schicksalsschlägen die wir inner SB auch näher erörtert haben zu einen Frauenhasser entwickel, nun mehrfach Admine der Seite angegriffen und das öffendlich inner SB.
Kätzchen ist nun derzeit die Vertrettung für Sonee alias Rico der durch Krankheit ausgefallen ist, bevor er wegen seiner Krankheit ausfiel hat er alles Kätzchen beigebracht damit sie die Seite in seiner Abwesenheit leiten kann.
Als Rico Kätzchen in den Admin Status berufen hat, kamst du nicht damit klar und hast Sie bis auf die Knochen beleidigt, als Rico denn aufbrach und mich und Tinchen in den Admin Status berufen hatte, hast du auch sie beleidigt bis aufs äusserste, zu dem hast du dich negativ der Seite in der Sb geäussert.
Soviel zur Geschichte, wir haben dich alle angeschrieben und dich aufgefordert nicht weiter Angriffe gegen Admins oder der Seite zu veröffendlichen, das hattest du nicht getan d.h. du hast munter weiter gemacht, nun mal Hand aufs Herz wer lässt sich das auf dauer gefallen?

Die Admine Tinchen die du mit beweise meinst kannst du getrost vergessen, sie braucht selber keinen Klammid Account, mach dich mal schlau, selbst wenn du einige Foren hier beobachtest, haben verschiedene Admins keine Accounts.

Falls du es trotzdem auf einen Rechtsstreit ankommen lassen willst bitte, deine Angriffe inner SB und schlecht machen der Seite haben wir gespeichert, diese werden wir gerne als Kündigungsgrund offen legen.
Wir werden erste Angriffe und Beleidigungen deinerseits beifügen.

Hoffe ich konnte zur Klärung dieses Falls beitragen,

gruß Ingo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Adblock Warnung.....
Antworten
3
Aufrufe
2K
elenascljha
E
gartenzwerg
    • Like
Loselink mit Warnung
Antworten
2
Aufrufe
3K
gartenzwerg
gartenzwerg
News-Bot
News Trumps Warnung vor «Blutbad» sorgt für Aufregung
Antworten
1
Aufrufe
2K
rajo48
rajo48
catbutt
Mehr Besucher anzeigen
Antworten
2
Aufrufe
890
catbutt
catbutt
uli125
Besucher des Weihnachtsmarktes Himmelpfort
Antworten
0
Aufrufe
818
uli125
uli125
Zurück
Oben