Sicherheitslücken finden (?)

[Мarvіn]

Hallo Coding-Sektion,

ich hätte ein Anliegen bezüglich meiner (bzw. eines Teammitglieds) erstellten Website für einen FlyFF Privat-Server.

Diese Website läuft über IIS und verbindet mit dem FlyFF-Datenbank (MsSQL)
um Daten wie z.B. Ranking abzufragen (über Cronjobs) oder sich zu registrieren.

Angeblich gibt es eine Lücke, mit der man sich Zugriff zur Datenbank verschaffen
kann und eine "Account-Liste" vom Server ihren Lauf macht und eventuell veröffentlich wird.

Mein Webdev weiß leider nicht weiter und wir haben keinen Lösungsansatz.
Hat wer eine Idee? Gibt es vielleicht Leute, die sich auf genau sowas spezialisieren?

Vielen Dank im Vorraus und mit freundlichen Grüßen,
Marvin

[nephren]

Grundsätzlich solltet ihr alle IIS Updates auf dem neusten Stand haben.
Dein Problem klingt schwer nach SQL Injection.
Wenn Sonderzeichen nicht escapet werden, ist es möglich den SQL Query zu manipulieren.
Methoden gibt es mehrere.
Google bitte mal nach:
ctype_alnum

[Мarvіn]

Also die SQL-Injections sind soweit überall nicht möglich. Wir lassen Sonderzeichen
nirgendwo zu und somit dürfte es (eigentlich) nicht funktionieren. (siehe Link meiner Signatur)

Es wurde erzählt (die Leute labern viel) es wären Fehlkonfigurationen bei PHP/Webdav.

[boxxiebabee]

benutzt ihr mysql_real_escape_string?

Ansonsten mal alle Passwörter ändern, mysql, root etc.. Aber sicher Passwörter mit Sonderzeichen etc.

[nkkk]

naja ohne viel zu wissen kann man las aussenstehender ja nur raten.

wär schon sinvoll wenn du mal den code posten würdest, dann könnte man überprüfen ob er sicher ist, mit php-konfigurationen kenne ich mich leider nicht aus.

[FUTDealer]

Schau mal in den MySQL Logs welche IP's auf die Datenbank zugegriffen haben. Wenn unbekannte dabei sind, schau die Apache/nginx Logs durch und suche Auffälligkeiten.

[GodHacker]

Ich glaube nicht, dass jemand eine solche "Lücke" gefunden hat, da es ja scheinbar keine eindeutigen Beweise für diese "Lücke" gibt. Sollte es wirklich eine geben, so hätte die Person, die sie ausnutzt bestimmt nicht gezögert die Daten zu veröffentlichen (warum sollte er die Daten sonst "stehlen").

[MrSm!th]

Da gibt es mehrere Möglichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Veröffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..

[Мarvіn]

Quote:

Originally Posted by MrSm!th

Da gibt es mehrere Möglichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Veröffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

[boxxiebabee]

Quote:

Originally Posted by Mаrvin

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

Aber was erwartest du dir? Wir können ohne den Code, Webseite etc. auch nur raten...

[kissein]

[NotEnoughForYou]

Quote:

Originally Posted by Mаrvin

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.

[Tyrar]

Quote:

Originally Posted by NotEnoughForYou

Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.

den standard kram habe ich mal durchgetestet, konnte allerdings auf die schnelle nichts finden -> code wäre definitiv sinnvoll

[Мarvіn]

Eine ältere Version dieser Website wurde einmal released, die aktuelle Version
unterscheidet sich überwiegend nur vom Design und ein 'paar anderen Kleinigkeiten.

Hier der Release Thread -> .
Hier der direkte DL -> (VT im obrigen Thread zu finden)

[nkkk]

hab mir den code mal angesehen und konnte keinen fehler finden, bin aber eig auch kein php programmierer.

die antisqlinjection besteht ja daraus alle ' zu entfernen, ich denke aber das reicht, da mssql nur ' als escapezeichen benutzt.

ich hab mal versucht so auf die db zuzugreifen, ist mir aber nicht gelungen, ist aber auch nicht mein spezialgebiet.