Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=9ee26b6385ca18a16b1103c4ce84e43a profile.php?mode=register&sid=9ee26b6385ca18a16b1103c4ce84e43a faq.php?sid=9ee26b6385ca18a16b1103c4ce84e43a memberlist.php?sid=9ee26b6385ca18a16b1103c4ce84e43a search.php?sid=9ee26b6385ca18a16b1103c4ce84e43a index.php?sid=9ee26b6385ca18a16b1103c4ce84e43a

Foren-bersicht » Internetprogrammierung » [PHP] CMS
Neues Thema erffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nchstes Thema anzeigen 
[PHP] CMS
BeitragVerfasst am: 30.06.2007 17:35 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb




Hi

Ich habe vor ein paar Tagen angefangen ein privates CMS, auf PHP-Basis, zu schreiben.

Z.Z beinhaltet es nur ein Login-System mit Userverwaltung und Rechtesystem
und das News-System.

Whre schn wenn ihr es auf Sicherheit prfen knntet.

http://kaito.pytalhost.net/

Am besten ihr findet das Passwort zum Adminaccount raus (Un.: Admin).

lg Kaito

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 18:20 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Haste das wirklich selber geschrieben? Das sieht irgendwie so sehr nach dem ilch aus, was ich frher mal fr Clan-Zwecke verwendet habe.

Oben im HTML-Titel steht PHP-Code; da haste wohl irgendwas falsch gemacht.

Der CrackerTracker lsst sich bei jedem beliebigen PHP-Skript nutzen -> schau mal hier. Der gleichnamige Mod fr das phpbb-Forum hat damit dann nichts zu tun.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 30.06.2007 18:26 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb




hi

danke fr die schnelle antwort

das design ist von einem freund angefertigt worden und nur zu testzwecken.
das kommt nachher noch weg.

ich hab jetzt den Standalonetracker eingebaut, nur was ich so rausgefunden habe blockt der keine sql attacken, sondern nur get attacken oder?

probier mal einen bitte ich hab keine Ahnung wie das eig. geht

lg Kaito

EDIT:: ja das design ist fr ilich angefertigt aber es ist non public

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 18:32 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Laut der Website von CBACK soll der CrackerTracker SQL Injection-Attacken verhindern.

Wie soll sich jemand die Page anschauen wenn du da gerade anfngst dran rumzubasteln und Dateien lscht oder was auch immer du machst - der Datenbankzugriff schlgt fehl.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 30.06.2007 18:36 Antworten mit Zitat
Ferro Unit
Anmeldedatum: 23.08.2006
Beitrge: 18




In etwa auf halber Hhe im HTML Quelltext war auch noch PHP Code, welcher wohl das Navigieren in den serverseitigen Verzeichnissen mittels index.php?site=%pfad% verhindern sollte aber nicht interpretiert wurde.

Also bitte schauen, dass auch wirklich jeder PHP Code ausgefhrt wird, weil sonst uU Sicherheitslcken entstehen (wie auch in diesem Fall).
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 30.06.2007 19:42 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb




wie schon gesagt die links fhren ins nirvana
das komplette script dahinter ist zz nur ein news system und ein loginsystem

ich wollte wissen ob ihr das loginsystem hacken knnt denn bei mir gehen die sql injections nicht

@Cerox: aso den cracker tracker ich hab etwas anderes verwendet

lg

EDIT:: sry hab die falsche config hochgeladen Rolling Eyes jetzt gehts wieder

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 23:54 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beitrge: 782
Wohnort: Engelskirchen




Ich kann im Login-Sytem kein SQL injizieren.

Du solltest allerdings auch auf eine sichere Programmierung achten; dein CrackerTracker behebt keine Sicherheitslcken sondern umgeht nur Probleme, sofern welche vorhanden sind.

Das ist vergleichbar mit einer Personal Firewall, die den Zugriff auf Dienste blockiert; diese PF umgeht das Problem genauso. Die Lsung des Problems liegt in der Abschaltung des entsprechenden Dienstes. In deinem Fall solltest du also sicher programmieren.

Der CrackerTracker sollte also nur als Ergnzung angesehen werden.

Du solltest die Eingaben der Felder fr Benutzername und Passwort berprfen. Ich wrde dort zum Beispiel bestimmte Sonderzeichen wie (- / *) filtern.

Sofern der Benutzername auf der Administrationsseite wieder auftaucht, musst du dafr sorgen, dass der Angreifer keinen HTML- oder JavaScript-Code einfgen kann (XSS).

Die PHP-Funktion htmlentities wird dir dabei behilflich sein.

Wie "Ferro Unit" schon erwhnte, befindet sich in deinem HTML-Code immer noch PHP, was anscheinend nicht interpretiert wird (in der Mitte und oben beim title-Attribut).
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.07.2007 20:03 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb





_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 24.07.2007 19:50 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb




hi

ich hab ein riesen problem bei meinem cms und zwar:

auf der in index.php lass ich die seiten wiefolgt aufscheinen:

Code:

<?php
$siteid=$_GET['site'];
if(!isset($siteid)) $siteid="news.php";
//Sichheitsl&uuml;cke beheben
$invalide = array('/', '/\/',':');
$siteid = str_replace($invalide,' ',$siteid);
if(!file_exists($siteid)) $siteid = "news.php";
include($siteid);
?>


das heit ich geb der seite den link zb ?site=guesbook
dann wird die guestbook.php angezeigt.

das dient der sicherheit damit man keine externe seite einbinden kann

so und jetzt mchte ich aber zb die profil.php aufruchen mit dem gat befehl ?show=1.

so der link lautet jetzt: http://localhost/cms/?site=profil.php?show=1

aber er tut gar nix.

vielleicht wisst ihr eine lsung.

lg Kaito

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 25.07.2007 01:07 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




http://localhost/cms/?show=1&site=profil.php
vllt?
ps deine cms funzt bei mir gar nicht

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 25.07.2007 10:04 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beitrge: 80
Wohnort: /desktop/papierkorb




hi

ne das geht leider auch nicht

das cms ist unter http://anonymususer.an.funpic.de/ zu errreichen.

lg Dominik[/url]

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 25.07.2007 17:47 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




Jo da funzt sie auch nicht
und ich wusste mal wie das geht wenn meine zeit es zulsst guck ich mirs nochmal an ansonsten kannse auch einfach includen durch ein site=xyz
Code:
include("./$xyz.php");

so msste das gehen auch mit parameterbergabe und man kann dann auch keien ncode von fremden seiten einschleusen

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.09.2013 13:10 Antworten mit Zitat
maryyou
Anmeldedatum: 30.08.2013
Beitrge: 3
Wohnort: Berlin




Oben im HTML- Diablo 3 Gold Kaufen Titel steht PHP-Code; da haste wohl irgendwas falsch gemacht.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 19.03.2021 09:01 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 30884




счас256.6введWhenтворШекшЭткиВеликартHiroсобаВелирису
БейеВансJackАфасСербрассCONSJuleJameУШекTescVoltCran
DeluAeroCarrMatiМартПервIntrДалгрыбоДьякLenoRoseComp
GlisSchaWhitLuciКузнTrueDolcLionRenaМироШейкAmarиллю
ThisIbizKnocBomb(реиНаумПугаправEdmoSonamiliPaliQuik
ТурцArcaВасиСодеПетрLouiRobeавтоDzhiGeorHareменяКрив
JeweJameEricРудаNasoZone8009ZoneсушеMiyoZoneZoneосвя
02-2DashАмшиTituрепрMagiМасиПушкИванTheoWifeобучТейл
БенлАстаRickиллюЛэймReadбольЛевифакуСульГанчсборпоте
хороKOSSхороПроиElecзелеBookигруBookBeflАрти0000B840
ИльюРН22BeflToyoЛенисущедовеBlueSweeсборбываLouiизде
здесКитаJeweWindientCARIBrauсклаPurpBoziсемьHenrdrea
IntrкурсЛитРКолыperfXVIIПросДанителеБелоСодеКоваОЛКн
УоддFredТрипфильHenrSergАфанAlekАэроживоNotyRichассо
ВойтДубчШивешколвыруГолотрафребезнанГалазавеПопоТока
ДеряИоткFerzБуркЕрохСветDaviЛениЛитвКравKOSSKOSSKOSS
WhatАхмеавтошколBrasБахрдетяКрушЖивоViviТараКонсtuchkas
БольFata
Benutzer-Profile anzeigen Private Nachricht senden
[PHP] CMS
Foren-bersicht » Internetprogrammierung
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema erffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche bersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum