Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=83bb84d000211bbd7303a4dd58a662ed profile.php?mode=register&sid=83bb84d000211bbd7303a4dd58a662ed faq.php?sid=83bb84d000211bbd7303a4dd58a662ed memberlist.php?sid=83bb84d000211bbd7303a4dd58a662ed search.php?sid=83bb84d000211bbd7303a4dd58a662ed index.php?sid=83bb84d000211bbd7303a4dd58a662ed

Foren-Übersicht » Internetprogrammierung » [PHP] CMS
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[PHP] CMS
BeitragVerfasst am: 30.06.2007 16:35 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




Hi

Ich habe vor ein paar Tagen angefangen ein privates CMS, auf PHP-Basis, zu schreiben.

Z.Z beinhaltet es nur ein Login-System mit Userverwaltung und Rechtesystem
und das News-System.

Währe schön wenn ihr es auf Sicherheit prüfen könntet.

http://kaito.pytalhost.net/

Am besten ihr findet das Passwort zum Adminaccount raus (Un.: Admin).

lg Kaito

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 17:20 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Haste das wirklich selber geschrieben? Das sieht irgendwie so sehr nach dem ilch aus, was ich früher mal für Clan-Zwecke verwendet habe.

Oben im HTML-Titel steht PHP-Code; da haste wohl irgendwas falsch gemacht.

Der CrackerTracker lässt sich bei jedem beliebigen PHP-Skript nutzen -> schau mal hier. Der gleichnamige Mod für das phpbb-Forum hat damit dann nichts zu tun.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 30.06.2007 17:26 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




hi

danke für die schnelle antwort

das design ist von einem freund angefertigt worden und nur zu testzwecken.
das kommt nachher noch weg.

ich hab jetzt den Standalonetracker eingebaut, nur was ich so rausgefunden habe blockt der keine sql attacken, sondern nur get attacken oder?

probier mal einen bitte ich hab keine Ahnung wie das eig. geht

lg Kaito

EDIT:: ja das design ist für ilich angefertigt aber es ist non public

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 17:32 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Laut der Website von CBACK soll der CrackerTracker SQL Injection-Attacken verhindern.

Wie soll sich jemand die Page anschauen wenn du da gerade anfängst dran rumzubasteln und Dateien löscht oder was auch immer du machst - der Datenbankzugriff schlägt fehl.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 30.06.2007 17:36 Antworten mit Zitat
Ferro Unit
Anmeldedatum: 23.08.2006
Beiträge: 18




In etwa auf halber Höhe im HTML Quelltext war auch noch PHP Code, welcher wohl das Navigieren in den serverseitigen Verzeichnissen mittels index.php?site=%pfad% verhindern sollte aber nicht interpretiert wurde.

Also bitte schauen, dass auch wirklich jeder PHP Code ausgeführt wird, weil sonst uU Sicherheitslücken entstehen (wie auch in diesem Fall).
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 30.06.2007 18:42 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




wie schon gesagt die links führen ins nirvana
das komplette script dahinter ist zz nur ein news system und ein loginsystem

ich wollte wissen ob ihr das loginsystem hacken könnt denn bei mir gehen die sql injections nicht

@Cerox: aso den cracker tracker ich hab etwas anderes verwendet

lg

EDIT:: sry hab die falsche config hochgeladen Rolling Eyes jetzt gehts wieder

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 30.06.2007 22:54 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ich kann im Login-Sytem kein SQL injizieren.

Du solltest allerdings auch auf eine sichere Programmierung achten; dein CrackerTracker behebt keine Sicherheitslücken sondern umgeht nur Probleme, sofern welche vorhanden sind.

Das ist vergleichbar mit einer Personal Firewall, die den Zugriff auf Dienste blockiert; diese PF umgeht das Problem genauso. Die Lösung des Problems liegt in der Abschaltung des entsprechenden Dienstes. In deinem Fall solltest du also sicher programmieren.

Der CrackerTracker sollte also nur als Ergänzung angesehen werden.

Du solltest die Eingaben der Felder für Benutzername und Passwort überprüfen. Ich würde dort zum Beispiel bestimmte Sonderzeichen wie (- / *) filtern.

Sofern der Benutzername auf der Administrationsseite wieder auftaucht, musst du dafür sorgen, dass der Angreifer keinen HTML- oder JavaScript-Code einfügen kann (XSS).

Die PHP-Funktion htmlentities wird dir dabei behilflich sein.

Wie "Ferro Unit" schon erwähnte, befindet sich in deinem HTML-Code immer noch PHP, was anscheinend nicht interpretiert wird (in der Mitte und oben beim title-Attribut).
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.07.2007 19:03 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb





_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 24.07.2007 18:50 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




hi

ich hab ein riesen problem bei meinem cms und zwar:

auf der in index.php lass ich die seiten wiefolgt aufscheinen:

Code:

<?php
$siteid=$_GET['site'];
if(!isset($siteid)) $siteid="news.php";
//Sichheitsl&uuml;cke beheben
$invalide = array('/', '/\/',':');
$siteid = str_replace($invalide,' ',$siteid);
if(!file_exists($siteid)) $siteid = "news.php";
include($siteid);
?>


das heißt ich geb der seite den link zb ?site=guesbook
dann wird die guestbook.php angezeigt.

das dient der sicherheit damit man keine externe seite einbinden kann

so und jetzt möchte ich aber zb die profil.php aufruchen mit dem gat befehl ?show=1.

so der link lautet jetzt: http://localhost/cms/?site=profil.php?show=1

aber er tut gar nix.

vielleicht wisst ihr eine lösung.

lg Kaito

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 25.07.2007 00:07 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




http://localhost/cms/?show=1&site=profil.php
vllt?
ps deine cms funzt bei mir gar nicht

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 25.07.2007 09:04 Antworten mit Zitat
Kaito
Anmeldedatum: 12.01.2006
Beiträge: 80
Wohnort: /desktop/papierkorb




hi

ne das geht leider auch nicht

das cms ist unter http://anonymususer.an.funpic.de/ zu errreichen.

lg Dominik[/url]

_________________
Meine Seite:

www.sharerama.de

Sie ist noch im Aufbau
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden ICQ-Nummer
BeitragVerfasst am: 25.07.2007 16:47 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Jo da funzt sie auch nicht
und ich wusste mal wie das geht wenn meine zeit es zulässt guck ich mirs nochmal an ansonsten kannse auch einfach includen durch ein site=xyz
Code:
include("./$xyz.php");

so müsste das gehen auch mit parameterübergabe und man kann dann auch keien ncode von fremden seiten einschleusen

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.09.2013 12:10 Antworten mit Zitat
maryyou
Anmeldedatum: 30.08.2013
Beiträge: 3
Wohnort: Berlin




Oben im HTML- Diablo 3 Gold Kaufen Titel steht PHP-Code; da haste wohl irgendwas falsch gemacht.
Benutzer-Profile anzeigen Private Nachricht senden
[PHP] CMS
Foren-Übersicht » Internetprogrammierung
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum