Forum

Moderiert von: stefan, spinne
Forum: Bug oder nicht...
Sie schreiben eine Antwort zum Thema: Sicherheit der Skripte
Gehe zu: OpenPHPNuke - das Open Source CMS Forum Index


Benutzername:
 
Sicherheits-Code
Sicherheits-Code
Neu laden

Thema im Überblick

Autor
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 23:57

Freespacer schrieb am 03.10.2006 um 23:22:33 Uhr folgendes:


Mann, Mann, Mann, da habe ich glatt den letzten Abschnitt überlesen.

Was genau wird im "Laborcenter" nochmal getestet? Ist das die Trunk-Version oder worum handelt es sich hier?

Fragen über Fragen...


auf allen OPN Seiten die öhm im Engeren Kreis sind, sind immer aktuell also trunk version und werden stündlich aktualisiert. Dazu gehört auch laborcenter.

Es kommt oft vor das ein Problem schwer zu beschreiben und / oder nachzuvollziehen ist. Viele Sachen sind sehr komplex. Auch setzt nicht jeder trunk ein (ist ja schliesslich die Entwickler Version kann also noch mehr Fehler haben als ein Branch) Es kann also sein das ein Fehler / Problem schon beseitigt ist. Auch Probleme durch falsche Server Einstellungen in auf der Labor nicht denkbar

All das kann man Testen / Überprüfen / Sicherstellen oder ausschiessen auf der laborcenter.

Im Zweifel gilt also wenn jemand den Fehler nicht auf der Labor nachstellen kann, dann liegt der Fehler nicht bei OPN Anderenfalls beseitige ich ihn halt


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 23:48

Freespacer schrieb am 03.10.2006 um 23:15:23 Uhr folgendes:


Kurze Frage: Wer betreut eigentlich die Module?



öhm wir


Zitieren Druckerfreundliche Darstellung nach oben
Freespacer

Registriert: 03.10.2006
Beiträge: 205
Wohnort: Essen


Sende eine Private Nachricht an Freespacer
Sicherheit der Skripte

Geschrieben: 03.10.2006 23:22

stefan schrieb am 03.10.2006 um 22:18:32 Uhr folgendes:

Mal so am Rande erwähnt. Wir / Ich haben eine Testbereich. Dort kann man von uns Adminrechte bekommen um jeden erdenkliche Konstellation nachzubauen. Wenn Kompleze Fehler vorhanden sind ist dort Testbar und für mich dann auch leiter behebbar. www.laborcenter.de


Mann, Mann, Mann, da habe ich glatt den letzten Abschnitt überlesen.

Was genau wird im "Laborcenter" nochmal getestet? Ist das die Trunk-Version oder worum handelt es sich hier?

Fragen über Fragen...


Zitieren Druckerfreundliche Darstellung nach oben
Freespacer

Registriert: 03.10.2006
Beiträge: 205
Wohnort: Essen


Sende eine Private Nachricht an Freespacer
Sicherheit der Skripte

Geschrieben: 03.10.2006 23:15

stefan schrieb am 03.10.2006 um 22:37:11 Uhr folgendes:

Kein Problem das mache ich ja auch Ich habe dafür ne HACK Programm gebaut das kommt in jedes CMS bis jetzt problemlos.

Jetzt bin ich mal gemein und gebe aber keine Tips wo du ne kleine Möglichkeit hättest. Mal schauen ob du es findest nur beeile dich weil ich Arbeite dagegen


Oh manno, das ist ja gemein.

Na gut, ich werde dann mal schauen, ob es kompliziert ist, dahinter zu kommen.

Nicht desto trotz hat es mir heute spaß gemacht, im Code herumzuwusseln.

Kurze Frage: Wer betreut eigentlich die Module?

Gruß

Sebastian


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 22:37

Freespacer schrieb am 03.10.2006 um 22:19:11 Uhr folgendes:


Wo hast du da im SVN korrigiert? Bin ja sehr neugierig.



Kannst du doch Problemlos im SVN log sehen?

Freespacer schrieb am 03.10.2006 um 22:19:11 Uhr folgendes:


komme ich mit der Verschlüsselung und darin der eigentliche Zweck nicht ganz dahinter.



zweck ist eben nicht jeden mist übergeben zukönnen

Freespacer schrieb am 03.10.2006 um 22:19:11 Uhr folgendes:


PS: So angeregt diskutiert, habe ich schon lange nicht mehr. Nicht desto trotz werde ich in nächster Zeit einige Sachen ausprobieren und im gesamten OPN-System irgendwelchen Schadcode einschleusen. Mal sehen, ob OPN standhält.


Kein Problem das mache ich ja auch Ich habe dafür ne HACK Programm gebaut das kommt in jedes CMS bis jetzt problemlos.

Jetzt bin ich mal gemein und gebe aber keine Tips wo du ne kleine Möglichkeit hättest. Mal schauen ob du es findest nur beeile dich weil ich Arbeite dagegen



Zitieren Druckerfreundliche Darstellung nach oben
Freespacer

Registriert: 03.10.2006
Beiträge: 205
Wohnort: Essen


Sende eine Private Nachricht an Freespacer
Sicherheit der Skripte

Geschrieben: 03.10.2006 22:19

stefan schrieb am 03.10.2006 um 21:44:38 Uhr folgendes:

Bis dahin gebe ich dir Recht. Das mit der URL Codierung ist per Rev. 5956 korrigiert. Aber wie gesagt es ändert nichts du bekommst da trotzdem keinen Fremden Code rein.


Wo hast du da im SVN korrigiert? Bin ja sehr neugierig.

Okay, das mit den Sicherheitsfragen kann man lange hin und her diskutieren. Fakt ist, irgendwie komme ich mit der Verschlüsselung und darin der eigentliche Zweck nicht ganz dahinter. Wenn es eigentlich nur dazu dient, die Server-Anfrage zu verschleiern, was eigentlich auch klappt. Aber bei der HTML-FORM-Tag ist der Zielort und die ganzen Variabeln einsehbar. Ab da ist dann mit der Verschleierungstaktik schluss.

Sebastian

PS: So angeregt diskutiert, habe ich schon lange nicht mehr. Nicht desto trotz werde ich in nächster Zeit einige Sachen ausprobieren und im gesamten OPN-System irgendwelchen Schadcode einschleusen. Mal sehen, ob OPN standhält.


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 22:18

Freespacer schrieb am 03.10.2006 um 21:35:13 Uhr folgendes:


Ich will jedoch nur, dass man dieses Formular direkt von OPN generiert wird und diese auch direkt von OPN zurückschicken kann.



verstehe ich nicht was heisst besser was soll das bedeutet. Stichwort BOTs die da reinschreiben ?

Freespacer schrieb am 03.10.2006 um 21:35:13 Uhr folgendes:


Aus unerfindlichen Gründen kann ich auch wenn ich in OPN angemeldet bin, ins Gästebuch nicht schreiben. Evtl. liegt hier ein BUG vor?!



geht hier Problemlos wenn ich mir dein Code unten ansehe denke ich das du da keine GFx siehst mit einer Zahl...

Freespacer schrieb am 03.10.2006 um 21:35:13 Uhr folgendes:


Nur die Einstellung schafft kurzfristig eine Lösung (aber nicht von dauer) unter admin -> Mein Gästebuch -> Einstellungen -> Spam Sicherheitsabfrage -> NEIN



Naja ich gehe mal von der JA Stellung aus...

wie gesagt geht hier Problemlos. Dieser ganze Teil bezieht sich aber auf SPAM Probleme. Spam ist ein wichtiges Thema keine Frage aber das würde ich nicht so ganz im gleichen Atemzug mit HACK und Fremden Code ausführen nennen. Das hat nicht direkt mit einem einbrauch zutun. Wenn irgendwo SPAM Probleme auftauchen werden diese gelöst. Auch klar. Man muss Sie natürlich auch sagen

mit dem GFX Code ist da eigentlich nichts mehr zubeobchten. Ich bau da aber gerne noch was zusätzliches ein.

Mal so am Rande erwähnt. Wir / Ich haben eine Testbereich. Dort kann man von uns Adminrechte bekommen um jeden erdenkliche Konstellation nachzubauen. Wenn Kompleze Fehler vorhanden sind ist dort Testbar und für mich dann auch leiter behebbar. www.laborcenter.de


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 21:54

Freespacer schrieb am 03.10.2006 um 21:35:13 Uhr folgendes:


Übrigens wäre es nicht vielleicht besser, wenn die Variable-Name "OPNPARAMS" öffentlich änderbar ist? Intern kann er von mir aus OPNPARAMS heißen, Aber das ist leider für mich ein Indiz, welches CMS gerade läuft.

Manche Webmaster empfehlen ein CMS gerne weiter, aber der Webmaster muss auch die Möglichkeit haben sein eigenes CMS zu verschleiern. Genausowie die Cookies, diese werden auch als "opnsession" genannt. Das sollte man auch im Adminbereich ändern können.



Über das verscheiern bitte ich zu akzeptieren das man unterschiedlicher Meinung sein kann. Das ganze nennt sich dann " security by obscurity " Obscurity bringt keine Sicherheit. Allerdings ist es auch kein Problem da ne Schlater hinzuzufügen. Aber wie gesagt sehe ich das nicht so entscheident an. Wichtig ist das es nicht durchkommt. Und genau da erwarte ich noch ne hinweiss wie ich da konkrett durch soll xss und co. sind getestet und werden abgefangen.


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Sicherheit der Skripte

Geschrieben: 03.10.2006 21:44

Ok langsam du sprichts viele Dinge verschiedener Art in einem Posting aus.



Weil es besser ist, von allen Seiten abzusichern. Andersherum gefragt, was bring mir die Verschlüsselung, wenn die Seiten sowieso öffentlich zugänglich sind? Da kann ich genauso die Verschlüsselung abschalten, weil sie nichts bringt. Verstehst du was ich meine?



Bis dahin gebe ich dir Recht. Das mit der URL Codierung ist per Rev. 5956 korrigiert. Aber wie gesagt es ändert nichts du bekommst da trotzdem keinen Fremden Code rein.




Erst nachlesen, dann nachdenken, dann nachfragen...
http://www.catb.org/~esr/faqs/smart-questions.html

openPHPnuke Developer

Zitieren Druckerfreundliche Darstellung nach oben
Freespacer

Registriert: 03.10.2006
Beiträge: 205
Wohnort: Essen


Sende eine Private Nachricht an Freespacer
Sicherheit der Skripte

Geschrieben: 03.10.2006 21:35

stefan schrieb am 03.10.2006 um 20:34:12 Uhr folgendes:

sorry ich verstehe nicht jetzt mal unabhänig von der URL Codierung was soll mr dein Beispiel sagen bzw. Wieso verhält er sich da deiner Meinung nach falsch.

Du willst da fremden Code einschleusen? Nach mal. Ich verstehe nicht was da die Lücke sein soll. Bis jetzt hast du das Modul nur auf gerufen und sollst was schreiben. Ich vermute du willst die Variable op angreifen. Versuch es. Versuch irgendwas zu übergeben was auch immer.


Weil es besser ist, von allen Seiten abzusichern. Andersherum gefragt, was bring mir die Verschlüsselung, wenn die Seiten sowieso öffentlich zugänglich sind? Da kann ich genauso die Verschlüsselung abschalten, weil sie nichts bringt. Verstehst du was ich meine?

Übrigens wäre es nicht vielleicht besser, wenn die Variable-Name "OPNPARAMS" öffentlich änderbar ist? Intern kann er von mir aus OPNPARAMS heißen, Aber das ist leider für mich ein Indiz, welches CMS gerade läuft.

Manche Webmaster empfehlen ein CMS gerne weiter, aber der Webmaster muss auch die Möglichkeit haben sein eigenes CMS zu verschleiern. Genausowie die Cookies, diese werden auch als "opnsession" genannt. Das sollte man auch im Adminbereich ändern können.

Nochmal zu Verdeutlichung, (leider habe ich auch ein Fehler im Gästebuch entdeckt)
Ich habe das Modul Gästebuch noch aktiviert. Ich will jedoch nur, dass man dieses Formular direkt von OPN generiert wird und diese auch direkt von OPN zurückschicken kann.

Aus unerfindlichen Gründen kann ich auch wenn ich in OPN angemeldet bin, ins Gästebuch nicht schreiben. Evtl. liegt hier ein BUG vor?! Nur die Einstellung schafft kurzfristig eine Lösung (aber nicht von dauer) unter admin -> Mein Gästebuch -> Einstellungen -> Spam Sicherheitsabfrage -> NEIN

Danach kann ich als angemeldeter User ins Gästebuch schreiben. Aber leider laufe ich auch sofort auf Gefahr, dass Spamschleuder dies ausnutzen können. Da die Sicherheitsabfrage leider in der Trunk-Version defekt ist.

Dieser kleine Code kann einfach SPAM's ins Gästebuch übertragen.
<html>
<head>
<title>SPAMING</title>
</head>
<body>
<form action="http://www.openphpnuke.info/system/forum/opnpr.php" method="post" name="coolsus" class="form" onsubmit="return validateForm('coolsus', validateFields, var_msg);">
<input type="hidden" name="guest_poster" value="2" />
<input type="hidden" name="guest_title" value="SPAMING GROUP!!!" />
<input type="hidden" name="font" value="" />
<input type="hidden" name="color" value="" />
<input type="hidden" name="chars" value="" />
<input type="hidden" name="search" value="" />
<input type="hidden" name="guest_body" value="THESE WAS SPAMED BY FREESPACER!!!" />
<input type="hidden" name="gfx_securitycode" value="Sicherheits-Code" />
<input type="hidden" name="op" value="saveguest" />
<input type="hidden" name="id" value="" />
<input type="submit" name="submit" value="SPAMING NOW" />
</form>
</body>
</html>


Aber da das Gästebuch leider mit der Sicherheitseinstellung nicht beschreibbar ist umso grö0er ist die Gefahr denoch. Das man die Sicherheitseinstellung heruntersetzen muss, um das Gästebuch nutzen zu können.

Da ist auch noch Nachbesserung angesagt.



Zitieren Druckerfreundliche Darstellung nach oben
2 Seiten ( 1 - 2 )