ich ändere immer in der Datenbank den Admin gebe ihm einen anderen Namen logge mich dann damit ein und ändere das Passwort
hatte ibis jetzt noch keine Probleme damit auch hat der keine Mail Adresse also kommt auch kein Passwort zurücksetzen an
ich ändere immer in der Datenbank den Admin gebe ihm einen anderen Namen logge mich dann damit ein und ändere das Passwort
hatte ibis jetzt noch keine Probleme damit auch hat der keine Mail Adresse also kommt auch kein Passwort zurücksetzen an
Jo, so mach' ich das auch. 
Für mich sieht das so aus als wollte da jemand SQL ausführen...
select... union... all...
Für mich sieht das so aus als wollte da jemand SQL ausführen...
select... union... all...
leider hat gnilebein recht, ich habe es gerade bei mir lokal gestestet und mit der oben beschriebenen URL lässt sich das PW des automatisch erstellen Accounts zurücksetzen, auch wenn man den Acc-Name, sogar die ID ändert.
Dies ist eine Schwachstelle im Code, welche eine direkte Ausführung von SQL-Befehlen erlaubt.
Prüfen und verbessern wir.
EDIT:
Bitte unbedingt die Datei home.passwort.php im Content-Ordner durch die hier im Downloadbereich (Link unten) austauschen! Kommt auch im nächsten Update. Ich empfehle unbedingt SOFORT ein Datenbank-Backup anzulegen, damit man die Daten zur Not wiederherstellen kann, falls bereits versucht wurde einzubrechen.
http://xcript.de/wsif/index.php/Entry/142
Ich möchte mich sehr bei allen Beteiligten dafür bedanken, dass ihr das Problem gemeldet habt! Gerade in solchen Fällen ist das extrem wichtig!
Erst mal danke für das schnelle Erkennen und beheben!
Ich verstehe aber trotzdem nicht, was es einem Angreifer nützt, wenn er das Admin-Passwort resetten lässt.
Den Account übernehmen könnte er doch nur, wenn er auch den Mail-Account, an den das neue PW geschickt wird, hackt.
Oder nicht?
Es kann das Passwort direkt in der DB geändert werden. Dadurch wird die Mail gar nicht benötigt.
Dann ist bei mir wohl zu spät! Ich kann mich nicht mehr anmelden.
Und nu?
Gehe direkt in die Datenbank zb mit phpmyadmin in die tabelle "wmtipp_users" dort gibst du im feld "pwd" unter deinem user ein neues passwort als md5 hash ein.
ein neus passwort als md5 hash kannst du zb hier generieren: http://md5-generator.de/
wenn dir das zu umständlich ist eiinfach
21232f297a57a5a743894a0e4a801fc3
dann kannste dich mit admin anmelden und im Profil das Passwort ändern.
Das geht leider nicht!
Ich bin mir nicht sicher aber vielleicht ist dort doch ein anderes Problem vorhanden.
Man kann sich auch nicht anmelden und auch kein PW-Reset machen.
Du kommst nicht in deine eigene Datenbank oder kannst du dich nur im Tippspiel nicht mehr einloggen?
Beschreib dein Problem genauer...
Ich kann mich nur im Tippspiel nicht anmelden. Weder über admin oder User mit Adminrechten. Normale Testuser gehen auch nicht.
Mit PHPadmin kann ich mich einloggen und habe auch FTP Zugriff über Filezilla.
Versuche ich einen neuen User anzumelden bekomme ich eine Email das ein Spambot versucht hat sich anzumelden.
Und dein Passwort hast du wie oben beschrieben über die Datenbank geändert?
Ja habe ich wie oben beschrieben gemacht. Habe auch schon versucht ein Backup einzuspielen, bekomme aber folgende Fehlermeldung:
Fehler
SQL-Befehl:
-- ------------------------------------------
-- INDIVIDUAL DATABASE EXPORT --
-- ------------------------------------------
-- Database: weltmeisterscha --
-- wmTIPP --
-- Build: 31.05.2014, 10:33 --
-- ------------------------------------------
-- Script by Dennis Riehle --
-- http://tutorial.riehle-web.com/scripts/ --
-- ------------------------------------------
-- Table: wmtipp_bonus_answers
-- ------------------------------------------
CREATE TABLE `wmtipp_bonus_answers` (
`id` int( 11 ) NOT NULL AUTO_INCREMENT ,
`bid` int( 11 ) NOT NULL DEFAULT '0',
`answer` int( 11 ) NOT NULL DEFAULT '0',
`type` varchar( 50 ) CHARACTER SET utf8 COLLATE utf8_unicode_ci NOT NULL DEFAULT '',
`date` int( 14 ) NOT NULL DEFAULT '0',
PRIMARY KEY ( `id` )
) ENGINE = MYISAM DEFAULT CHARSET = utf8;
MySQL meldet: Dokumentation
#1050 - Table 'wmtipp_bonus_answers' already exists
Jau da sagt er dir dass die Tabelle bereits existiert...
Je nachdem wie aktuell dein Backup ist musst du die Datenbank natürlich vorher leeren.
Wobei ich erstmal versuchen würde nur die Tabelle "wmtipp_users" zu ersetzen...
Mach aber vorher trotzdem nochmal eine Sicherung der jetzigen DB.
Ok Backup habe ich. Dann leere ich jetzt die Datenbank und spiele das Backup neu ein.
