Sicherheitslücke?

Razorhawk

Webdesigner und MSP
Ich bin mir gerade nicht ganz so sicher ob ich das vollends schreiben soll, aber ich denke ich muss es mal sagen.
Ich glaube ich hab ne Sicherheitslücke gefunden, die man glaub ich garnich stopfen kann.
Allerdings gereicht das nur zum Vorteil vom criptwriter und zum Nchteil des Scriptusers.
Nämlich habe ich eine Mögichkeit herausgefunden, dass man möglicherweise ftp-aten und db-daten vom scriptuser so einfach herausfinden kann als scriptwriter.
Ich frage mich ob dieser Beitrag jetzt nen Sinn hat.
Aber ich möchte hier auch nicht reinschreiben wie man es macht.
Aber was müsst ich machen oder wen müsst ich das mitteilen wo die lücke liegt?
 
Noch ein kleiner tipp am rande: hast du das lokal getestet? lokal geht nämlich einiges mehr als auf dem webserver, da bin ich auch schonmal drübergestolpert ... :)

du kannst lokal von nem php script ja auch beispielsweise auf lokale ordner zugreifen...

und was meinst du überhaupt ftp und datenbank daten?
 
also eigentlich meine ich

db-host
db-user
db-pass
und db-name

hab was vergessen, denn bei puretec ist db-user und pass = den ftp-daten, was bei anderen glaub ich nicht is.

Aber ich bin sicher, dass es geht, denn es hängt weniger vom server ab ob es geht oder nicht, sondern geht die initiative geht vom user aus (unbewusst)

Aber ich glaube auf die idee sind viele schon gekommen wie ich =)
 
sorry wenn ich dich nicht richtig verstehe, aber der script user ist der client, der hat keine ftp oder datenbank daten.
 
hmm,

shee ich das richtig und du findest selbst diene ftp udnd mysql Daten raus ? Njaja die musst du halt angeben und vor allem nur vor anderen verbergen, wenn du sie kennst ist dies durchaus sinnvoll , sonst kommst nimmer auf deinen Webspace und an deine DB , oder hab ich dich falsch verstanden jetzt ?
 
Ok, dann schreib ich es dochmal, denn hab mir überlegt, falls es doch sooo schlimm sein würde, dann hätte das schon jemand dolle ausgenutzt und ansonsten können die Mods das ja dann wieder löschen.

Ist eigentlich total simpel und easy (kam bestimmt schonmal mehrere drauf)

Also der sciptwriter baut ne simple routine ein
nämlich, dass ne mail zu ihm geschickt wird, wenn das script installiert wurde.
Jetzt muss der script user beim installieren seine ganzen DB daten usw. angeben.
Beim weiterverarbeiten werden dann diese variablen mit den db-daten innen mailstring gepackt und abgeschickt und schon hat man die daten.
Da man auch den code vorm installieren nicht durchforstet, funktioniert das meisten auch.

Eigentlich erschreckend wie einfach das geht.

Oder geht das nicht? Ich habs nicht getestet... ist mir nur so eingefahlen als ich nen installscript geschrieben habe.
 
lol,naja ich überprüfe die scripte ich ich installiere meistens aber wenn es sich natürlich um ein größeres board system handelt :p
aber das würde dann doch eh schnell raus kommen
 
jo stimmt und ich denk mal bevor es jemand öffentlich zum DL anbietet würde es die Seite sowieso vorher testen denk ich.
 
das ist aber keine sicherheitslücke in php, sondern ne hirnlücke der anwender.

man muss ja keine noname-scripts hernehmen.
 
Zurück