fehlerhinweiss bitte um hilfe

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • fehlerhinweiss bitte um hilfe

    beim aufrufen der domain bekomme ich folgenden fehler angezeigt, finde selbst den fehler dort leider nicht

    PHP-Code:
    <?
    extract($_REQUEST);


    if ($merken=="ja") {$speichern= 30 * 24 * 60 * 60;
    setcookie("HomoTownUser", "$benutzername", time()+$speichern);
    setcookie("HomoTownPass", "$passwort", time()+$speichern);
    }
    include "config.php";
    include "functions.php";
    if (!isset($pcolor)) $pcolor= "1";
    if ($pcolor == "1") $color = "http://www.php-resource.de/forum/images/orange";
    if ($pcolor == "2") $color = "http://www.php-resource.de/forum/images/green";
    if ($pcolor == "3") $color = "http://www.php-resource.de/forum/images/blue";
    if (!isset($open)) $open = "index-startseite";
      if ($open == "config") $open = "home5";
      if ($open == "index") $open = "home5";
    if (file_exists($open.".php")) {
        include($open.".php");
      } else {
      generate_errorpage("Modul noch nicht aktiviert!");
    }

    ?>
    danke im vorfeld für eure hilfestellung

  • #2
    Hoffentlich ist das Script nicht online. Das ist eine riesige Sicherheitslücke.

    1. extract($_REQUEST) ist ganz böse. Dadurch holst du dir Nachteile ins Haus, die schon lange aus PHP entfernt wurden (Register Globals).

    2. Du inkludierst die Variable $open, die einen Wert enthält, der vom Client stammt. Vertraue niemals einem Wert vom Client! Dadurch, dass du den Wert blind includest, kann man dir möglicherweise Fremdcode unterjubeln.
    Zuletzt geändert von h3ll; 28.10.2014, 23:51.

    Kommentar


    • #3
      fehlerhinweiss bitte um hilfe

      das script hat ne firma mir verkauft und nun stellen die sich an für den support die werden doch keine software mit sicherheitslücken verkaufen dann wären sie doch doof was da für anzeigen ins haus flattern würden. PHP Scripte - Professionelle PHP-Software und Web Anwendungen von Hi Web Wiesbaden

      Kommentar


      • #4
        Zitat von chubbysonne Beitrag anzeigen
        das script hat ne firma mir verkauft und nun stellen die sich an für den support die werden doch keine software mit sicherheitslücken verkaufen dann wären sie doch doof was da für anzeigen ins haus flattern würden.
        Das war übrigens nicht die einzige Sicherheitslücke. Passwörter haben im Cookie nichts verloren.

        Also ich kann nur davon abraten diesen Code zu verwenden.
        Zuletzt geändert von h3ll; 28.10.2014, 23:56.

        Kommentar


        • #5
          fehlerhinweiss bitte um hilfe

          weil sie selbst haben es ja auch bei sich laufen sind denn da die gleichen fehler lücken? Gay Community

          Kommentar


          • #6
            Zitat von chubbysonne Beitrag anzeigen
            weil sie selbst haben es ja auch bei sich laufen sind denn da die gleichen fehler lücken? Gay Community
            Die Seite ist auch noch anfällig für SQL-Injections. Offen wie ein Scheunentor. Mit ein bisschen böser Absicht könnte man da viel Schaden anrichten.

            Edit:

            Mit ein bisschen Aufwand (ca. 1 Minute) konnte ich mich gerade auf der Seite als Admin einloggen und hab vollen Zugang zu allen Daten.
            Zuletzt geändert von h3ll; 29.10.2014, 00:04.

            Kommentar


            • #7
              fehlerhinweiss bitte um hilfe

              kann man da rechtlich vorgehen um den kauf rückgängig zu machen auf grund dessen sicherheits risikos?

              Kommentar


              • #8
                Zitat von chubbysonne Beitrag anzeigen
                kann man da rechtlich vorgehen um den kauf rückgängig zu machen auf grund dessen sicherheits risikos?
                Versuchmal eine Software von Mircosoft (zB Excel) zurückzugeben, weil da eine Sicherheitslücke ist

                Mit dem Kauf einer Software hast Du auch die AGB,s akzeptiert.

                Gruss WW

                Kommentar

                Lädt...
                X