SQL-Injection möglich

Ich habe einen Blog Artikel verfasst - Wie benutze ich die Suche richtig - Bitte diesen beachten und auch umsetzen bevor Ihr ein Neues Thema eröffnet!

  • Meine Kollegen lassen heute einen Pen Test auf die Seite los. Meine Frage - hat jemand ein einfaches Captcha im Einsatz damit man wenigstens Brute Force auf die Anmeldung verhindern kann?


    Man soll ja immer ans Gute im Menschen glauben, aber bei so vielen Mitspielern kann es immer schwarze Schafe geben... (vorallem wenn so viel Nerds mitspielen :D:D)

  • wer nur tippt dem ist das egal

    ... dass ich in der Lage bin

    * alle Tipps zu manipulieren

    * sämtliche Datenbank-Tabellen zu löschen.

    * mir Admin-Rechte zu verschaffen


    Ist das deine Aussage?



    EDIT:

    Außerdem habe ich nicht gesucht. Das Log hat mit einen fatalen PHP-Fehler angezeigt, Und als ich mir die Code-Stelle angeschaut habe, ist mir genannte Sicherheitslücke direkt ins Auge gefallen.

  • es ist nur ein Tippspiel für ein paar Wochen

    und du hast das selbe auch bei der EM gesagt

    mein vor schlag schlisse es bei dir doch einfach

    Zufrieden mit dem Script und dem Support?
    Möchtest du uns unterstützen?
    Dann könntest du etwas

              Spenden


  • Allein die Tatsache, dass ich über Google etliche Seiten mit diesem Tippspiel-Script finde und mir über eine SQL-Injection Zugriff auf alle E-Mail Adressen der User verschaffen kann, sollte Grund genug sein den Fehler zu beheben.

    Sorry aber da macht ihr es euch zu einfach, wenn ihr sagt interessiert sich doch eh niemand für ..

  • ich sage dazu das ist Paranoid das script gibt es chon jahre keiner hat sich darüber aufgeregt bis dieser selbst ernannte Sicherheit Experte

    darauf aufmerksam machte

    darum mein Tipp schließt es doch einfach

    Zufrieden mit dem Script und dem Support?
    Möchtest du uns unterstützen?
    Dann könntest du etwas

              Spenden


  • Es ist paranoid, über eine echte Sicherheitslücke zu informieren? Ich finde es eher ignorant, diesen Hinweis einfach abzuwinken mit der Aussage, dass das eh niemanden interessiert. Aber das ist ja nicht der erste und einzige Beitrag in dieser Qualität von dir, oldie .

    The definition of open: mkdir android ; cd android ; repo init -u git://android.git.kernel.org/platform/ manifest.git ; repo sync ; make

  • Habe Wiimm schon eine PN geschrieben, werde dann noch ein Update mit der Schließung der möglichen SQL-Injection veröffentlichen.

    Zufrieden mit dem Script und dem Support? Möchtest du uns unterstützen?

    Dann könntest du etwas SPENDEN. :)


    HERTHA BSC heißt unser Verein
    HERTHA BSC wird es immer sein!

  • Wiimm Es ist wichtig darüber zu informieren und du hast genau den richtigen Weg gewählt. Danke dafür. Selbstverständlich werden wir Maßnahmen ergreifen und die Lücke schließen.


    Es gibt bei so etwas auch eine Verantwortung anderen gegenüber. Das Tippspiel selbst wird keinen Schaden verursachen. Aber der Missbrauch von Servern kann unter Umständen auch über die Quelle hinaus schaden verursachen. Wenn man davon weiß, dann muss man handeln.

    XCRIPT.DE - Home of BuLitipp, the original!
    Zufrieden mit dem Skript und dem Support? Möchtest du uns unterstützen? Dann könntest du etwas

    SPENDEN

  • ich habe das schon zur EM gesagt und es hat keinen interessiert aber auf einmal schon

    ok bin also raus

    Kannst du mir bitte ne PM schicken, wo du die SQL Injection Schwachstelle gefunden hast? Dann muss ich nicht selbst suchen.

    Vielen Dank

  • oldie


    Sorry, aber deine Einstellung dazu ist absolut verständnis- und verantwortungslos!

    Genau so Leute wie du sind es dann aber, die wenn was passiert und ihre Daten selbst missbraucht werden, am allermeisten rumschreien.

    Selbstverständlich werden wir Maßnahmen ergreifen und die Lücke schließen.


    Es gibt bei so etwas auch eine Verantwortung anderen gegenüber. Das Tippspiel selbst wird keinen Schaden verursachen. Aber der Missbrauch von Servern kann unter Umständen auch über die Quelle hinaus schaden verursachen. Wenn man davon weiß, dann muss man handeln.

    :thumbup:

  • Mit dem heutigen Update haben wir etwas für die mögliche SQL-Injection getan, daher ist ein Update dringend empfohlen.

    Am wichtigsten ist die Datei "inc.functions.php".


    Vielen Dank noch einmal an Wiimm.

    Zufrieden mit dem Script und dem Support? Möchtest du uns unterstützen?

    Dann könntest du etwas SPENDEN. :)


    HERTHA BSC heißt unser Verein
    HERTHA BSC wird es immer sein!