ich hätte ein Anliegen bezüglich meiner (bzw. eines Teammitglieds) erstellten Website für einen FlyFF Privat-Server.
Diese Website läuft über IIS und verbindet mit dem FlyFF-Datenbank (MsSQL)
um Daten wie z.B. Ranking abzufragen (über Cronjobs) oder sich zu registrieren.
Angeblich gibt es eine Lücke, mit der man sich Zugriff zur Datenbank verschaffen
kann und eine "Account-Liste" vom Server ihren Lauf macht und eventuell veröffentlich wird.
Mein Webdev weiß leider nicht weiter und wir haben keinen Lösungsansatz.
Hat wer eine Idee? Gibt es vielleicht Leute, die sich auf genau sowas spezialisieren?
Vielen Dank im Vorraus und mit freundlichen Grüßen,
Marvin
Grundsätzlich solltet ihr alle IIS Updates auf dem neusten Stand haben.
Dein Problem klingt schwer nach SQL Injection.
Wenn Sonderzeichen nicht escapet werden, ist es möglich den SQL Query zu manipulieren.
Methoden gibt es mehrere.
Google bitte mal nach:
ctype_alnum
Also die SQL-Injections sind soweit überall nicht möglich. Wir lassen Sonderzeichen
nirgendwo zu und somit dürfte es (eigentlich) nicht funktionieren. (siehe Link meiner Signatur)
Es wurde erzählt (die Leute labern viel) es wären Fehlkonfigurationen bei PHP/Webdav.
naja ohne viel zu wissen kann man las aussenstehender ja nur raten.
wär schon sinvoll wenn du mal den code posten würdest, dann könnte man überprüfen ob er sicher ist, mit php-konfigurationen kenne ich mich leider nicht aus.
Schau mal in den MySQL Logs welche IP's auf die Datenbank zugegriffen haben. Wenn unbekannte dabei sind, schau die Apache/nginx Logs durch und suche Auffälligkeiten.
Ich glaube nicht, dass jemand eine solche "Lücke" gefunden hat, da es ja scheinbar keine eindeutigen Beweise für diese "Lücke" gibt. Sollte es wirklich eine geben, so hätte die Person, die sie ausnutzt bestimmt nicht gezögert die Daten zu veröffentlichen (warum sollte er die Daten sonst "stehlen").
Da gibt es mehrere Möglichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Veröffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..
Da gibt es mehrere Möglichkeiten, z.B. um damit Geld zu verdienen oder um beim Fix zu helfen.
Vom Veröffentlichen hat man am wenigsten, das machen nur kleine Kinder. Warte, wem sag ich das eigentlich..
This.
Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.
Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)
(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)
Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.
Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)
(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)
Aber was erwartest du dir? Wir können ohne den Code, Webseite etc. auch nur raten...
Ich denke, ich werde hier keine Hilfe finden. Das was mir hier empfohlen worden
ist, ist natürlich nicht der Fall - So schlecht abgesichert ist die Website auch nicht.
Gibt es nicht einen bestimmten "Service", mit dem man eventuell qualifizierte
Leute drüber schauen lässt und die mal gucken was man so findet.. (?)
(Wobei man sich da ja auch nicht sicher sein kann, zumindest bei Privatleuten)
Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.
Wieso sollten wir uns kostenlos bereit stellen ? Und wie schon gesagt wurde kann man ohne den Code nur durchprobieren. Das geht mit Code sehr viel schneller.
den standard kram habe ich mal durchgetestet, konnte allerdings auf die schnelle nichts finden -> code wäre definitiv sinnvoll
Eine ältere Version dieser Website wurde einmal released, die aktuelle Version
unterscheidet sich überwiegend nur vom Design und ein 'paar anderen Kleinigkeiten.
Hier der Release Thread -> . Hier der direkte DL -> (VT im obrigen Thread zu finden)
[S] Tool mit dem man Sicherheitslücken findet 08/17/2012 - General Coding - 7 Replies Hallo Community,
wie schon in der Überschrift steht suche ich ein Tool das "Sicherheitslücken" findet. Ich möchte das an meinen Programmen austesten und dann die Lücke schließen. Wie mein "HWID + Login".
Diese Tool habe ich ein paar Leuten zum testen gegeben und ein paar haben es auch geschafft zu knacken. Und jetzt würde ich gerne die Lücke schließen. Brauche nur das passende Tool kennt ihr eins? (Mein HWID + Login ist mit Visual Basic 2010 geschriebe)
955NONAME
[HOMEPAGE]Sicherheitslücken Scanner 11/08/2011 - Metin2 Private Server - 3 Replies Heyho
kennt einer von euch einen guten Sicherheitslücken Scanner für eine Homepage ??
mit diesen Google Skipfish habe ich runtergeladne aber kp wie es geht vlt hat auch einer davon ein TUT
Wen nicht bitte namen vom anderen guten Scanner posten ;)
[Website]Sicherheitslücken Scann Service 08/13/2011 - Trading - 35 Replies Hey,
ich biete euch an, eure Website mit einem Programm nach Sicherheitslücken zu Scannen. Das ganze ist kostenlos! Was ich euch versichern kann ist, dass mein Programm jeden Exploit findet. Nachdem der Scann vorbei ist bekommt ihr ein Screen, wo jeder Exploit aufgelistet ist.
Es gibt folgende Exploit Ränge
High
Medium
Low
Informational
.php Dateien auf Sicherheitslücken überprüfen 12/07/2010 - Technical Support - 1 Replies Mahlzeit,
weiß jemand von euch wie ich am besten .php Dateien auf Sicherheitslücken überprüfen kann, oder so verschlüsseln kann, dass sie von niemand anderem runtergeladen werden können?
Vielleicht gibt es ja irgendein Tool was das für mich erledigen kann, will jetzt nicht unbedingt Zeile für Zeile durch kauen.
Grüße