Finde Sicherheitslücke nicht!

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Finde Sicherheitslücke nicht!

    Hallo, ich betreibe eine Fanpage für eine Metalband und das Gästebuch wird zZt. ziemlich vollgespammed, obwohl ich ein Captcha programmiert habe.
    Es scheint aber eine Lücke in meiner Gbook.php zu sein, die ich aber nicht finde...

    Vielleicht nimmt sich mal jmd. die Zeit und schaut es durch:

    gbook.php:
    PHP-Code:
    //Problem gelöst 
    Übergeben werden die einzelnen Werte durch ein Formular mit dem Namen "entry.php", aber das ist eigentlich nur HTML-Code...

    Ich schreib noch mein Captchabild rein, die "img.php":
    PHP-Code:
    //Problem gelöst 
    Die gbook.php wird in der index.php per URL eingebunden, da hab ich dann auch das "session_start()" drin...

    Und jetzt noch zur Veranschaulichung der Link zur Seite:
    http://trivium-fan.de/index.php?nav=gbook

    Danke schonmal im Vorraus für die Hilfe.

    Gruß
    Macks
    Zuletzt geändert von icecream; 01.12.2006, 19:08.
    icedcream.de Webdesign Regensburg
    Stichworte: -
  • #2
    error_reporting() sagt nichts?

    Ansonsten sehe ich jetzt nichts fatales außer SQL-Injection.

    ich seh auch gerade kein Spam, schon gelöscht?
    Zuletzt geändert von TobiaZ; 01.12.2006, 17:27.

    Kommentar

    • #3
      Original geschrieben von TobiaZ
      error_reporting() sagt nichts?

      Ansonsten sehe ich jetzt nichts fatales außer SQL-Injection.

      ich seh auch gerade kein Spam, schon gelöscht?
      Stimmt... ich müsste mal die Variablen zum Blättern absichern... danke für den Hinweise.

      error_reporting sagt nix, weil es ist anscheinend nur eine Sicherheitslücke im Script und kein PHP-Fehler...

      Und ja, der Spam ist schon gelöscht, aber der kommt alle paar Stunden wieder...
      icedcream.de Webdesign Regensburg

      Kommentar

      • #4
        Erst mal würde ich überprüfen, ob das CAPTCHA denn überhaupt umgangen wird - oder ob der korrekte Code auch bei den Spam-Einträgen mitgeliefert wird. Also mal ein bisschen mitloggen ...
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar

        • #5
          OK, ich hau das mal in die Datenbank rein und sag euch dann beim nächsten Spam die Ergebnisse...
          icedcream.de Webdesign Regensburg

          Kommentar

          • #6
            Spam ist wieder da^^...

            Also:
            Das Captchabild wurde nicht aufgerufen und auch kein Code eingegeben, also geh ich davon aus, dass jmd. ein fremdes Formular benutzt hat.
            Also muss da irgend ein Fehler in der Gbook.php sein...

            EDIT:
            Ich logg mal Referer und IP-Adresse mit


            Gruß
            Macks
            Zuletzt geändert von icecream; 01.12.2006, 18:50.
            icedcream.de Webdesign Regensburg

            Kommentar

            • #7
              Original geschrieben von icecream
              Also muss da irgend ein Fehler in der Gbook.php sein...
              ich schätze mal hier:
              $captchain = strtoupper($_POST['captcha']);
              ...
              if ($captchain != $_SESSION['code'])

              wenn das captcha nicht aufgerufen wurde und auch kein code per post kommt ist ja beides null und somit nicht ungleich.

              Kommentar

              • #8
                So, nochmal drüber geguckt.

                if ($captchain != $_SESSION['code']) {

                welche der beiden variablen enthalten etwas, wenn du ein spammer bist?

                Kommentar

                • #9
                  Hehe, beide gleichzeitig^^

                  @TobiaZ: Keine der Beiden

                  Danke für die Hilfe, hoffentlich ist jetzt der Albtraum vorbei...^^

                  Ich find das Wahnsinn, dass so eine Kleinigkeit solche Auswirkungen haben kann...^^

                  Gruß
                  Macks
                  Zuletzt geändert von icecream; 01.12.2006, 19:05.
                  icedcream.de Webdesign Regensburg

                  Kommentar

                  Vorherige template Weiter
                  Lädt...
                  X