Sicherheitsl�cken finden (?)

Page 1 of 2

11/18/2012 21:18 Мarvіn#1

Hallo Coding-Sektion,

ich h�tte ein Anliegen bez�glich meiner (bzw. eines Teammitglieds) erstellten Website f�r einen FlyFF Privat-Server.

Diese Website l�uft �ber IIS und verbindet mit dem FlyFF-Datenbank (MsSQL)
um Daten wie z.B. Ranking abzufragen (�ber Cronjobs) oder sich zu registrieren.

Angeblich gibt es eine L�cke, mit der man sich Zugriff zur Datenbank verschaffen
kann und eine "Account-Liste" vom Server ihren Lauf macht und eventuell ver�ffentlich wird.

Mein Webdev wei� leider nicht weiter und wir haben keinen L�sungsansatz.
Hat wer eine Idee? Gibt es vielleicht Leute, die sich auf genau sowas spezialisieren?

Vielen Dank im Vorraus und mit freundlichen Gr��en,
Marvin

11/18/2012 21:21 nephren#2

Grunds�tzlich solltet ihr alle IIS Updates auf dem neusten Stand haben.
Dein Problem klingt schwer nach SQL Injection.
Wenn Sonderzeichen nicht escapet werden, ist es m�glich den SQL Query zu manipulieren.
Methoden gibt es mehrere.
Google bitte mal nach:
ctype_alnum

11/18/2012 22:11 Мarvіn#3

Also die SQL-Injections sind soweit �berall nicht m�glich. Wir lassen Sonderzeichen
nirgendwo zu und somit d�rfte es (eigentlich) nicht funktionieren. (siehe Link meiner Signatur)

Es wurde erz�hlt (die Leute labern viel) es w�ren Fehlkonfigurationen bei PHP/Webdav.

11/18/2012 22:21 boxxiebabee#4

benutzt ihr mysql_real_escape_string?

Ansonsten mal alle Passw�rter �ndern, mysql, root etc.. Aber sicher Passw�rter mit Sonderzeichen etc.

11/19/2012 00:25 nkkk#5

naja ohne viel zu wissen kann man las aussenstehender ja nur raten.

w�r schon sinvoll wenn du mal den code posten w�rdest, dann k�nnte man �berpr�fen ob er sicher ist, mit php-konfigurationen kenne ich mich leider nicht aus.

11/20/2012 16:20 FUTDealer#6

Schau mal in den MySQL Logs welche IP's auf die Datenbank zugegriffen haben. Wenn unbekannte dabei sind, schau die Apache/nginx Logs durch und suche Auff�lligkeiten.

11/20/2012 23:46 GodHacker#7

Ich glaube nicht, dass jemand eine solche "L�cke" gefunden hat, da es ja scheinbar keine eindeutigen Beweise f�r diese "L�cke" gibt. Sollte es wirklich eine geben, so h�tte die Person, die sie ausnutzt bestimmt nicht gez�gert die Daten zu ver�ffentlichen (warum sollte er die Daten sonst "stehlen").

11/21/2012 00:18 MrSm!th#8

Da gibt es mehrere M�glichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Ver�ffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..

11/23/2012 09:16 Мarvіn#9

Quote:

Originally Posted by MrSm!th

Da gibt es mehrere M�glichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Ver�ffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist nat�rlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute dr�ber schauen l�sst und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

11/23/2012 10:20 boxxiebabee#10

Quote:

Originally Posted by Mаrvin

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist nat�rlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute dr�ber schauen l�sst und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

[Only registered and activated users can see links. Click Here To Register...]

Aber was erwartest du dir? Wir k�nnen ohne den Code, Webseite etc. auch nur raten...

11/23/2012 11:14 kissein#11

[Only registered and activated users can see links. Click Here To Register...]

11/23/2012 18:39 NotEnoughForYou#12

Quote:

Originally Posted by Mаrvin

This.

Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist nat�rlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.

Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute dr�ber schauen l�sst und die mal gucken was man so findet.. (?)

(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)

Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.

11/23/2012 20:17 Tyrar#13

Quote:

Originally Posted by NotEnoughForYou

Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.

den standard kram habe ich mal durchgetestet, konnte allerdings auf die schnelle nichts finden -> code w�re definitiv sinnvoll ;)

11/27/2012 11:35 Мarvіn#14

Eine �ltere Version dieser Website wurde einmal released, die aktuelle Version
unterscheidet sich �berwiegend nur vom Design und ein 'paar anderen Kleinigkeiten.

Hier der Release Thread -> [Only registered and activated users can see links. Click Here To Register...].
Hier der direkte DL -> [Only registered and activated users can see links. Click Here To Register...] (VT im obrigen Thread zu finden)

11/29/2012 16:55 nkkk#15

hab mir den code mal angesehen und konnte keinen fehler finden, bin aber eig auch kein php programmierer.

die antisqlinjection besteht ja daraus alle ' zu entfernen, ich denke aber das reicht, da mssql nur ' als escapezeichen benutzt.

ich hab mal versucht so auf die db zuzugreifen, ist mir aber nicht gelungen, ist aber auch nicht mein spezialgebiet.

Page 1 of 2