Finde Sicherheitslücke nicht!

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Finde Sicherheitslücke nicht!

    Hallo, ich betreibe eine Fanpage für eine Metalband und das Gästebuch wird zZt. ziemlich vollgespammed, obwohl ich ein Captcha programmiert habe.
    Es scheint aber eine Lücke in meiner Gbook.php zu sein, die ich aber nicht finde...

    Vielleicht nimmt sich mal jmd. die Zeit und schaut es durch:

    gbook.php:
    PHP Code:
    //Problem gelöst 
    Übergeben werden die einzelnen Werte durch ein Formular mit dem Namen "entry.php", aber das ist eigentlich nur HTML-Code...

    Ich schreib noch mein Captchabild rein, die "img.php":
    PHP Code:
    //Problem gelöst 
    Die gbook.php wird in der index.php per URL eingebunden, da hab ich dann auch das "session_start()" drin...

    Und jetzt noch zur Veranschaulichung der Link zur Seite:
    http://trivium-fan.de/index.php?nav=gbook

    Danke schonmal im Vorraus für die Hilfe.

    Gruß
    Macks
    Last edited by icecream; 01-12-2006, 19:08.
    icedcream.de Webdesign Regensburg
    Tags: None
  • #2
    error_reporting() sagt nichts?

    Ansonsten sehe ich jetzt nichts fatales außer SQL-Injection.

    ich seh auch gerade kein Spam, schon gelöscht?
    Last edited by TobiaZ; 01-12-2006, 17:27.

    Comment

    • #3
      Original geschrieben von TobiaZ
      error_reporting() sagt nichts?

      Ansonsten sehe ich jetzt nichts fatales außer SQL-Injection.

      ich seh auch gerade kein Spam, schon gelöscht?
      Stimmt... ich müsste mal die Variablen zum Blättern absichern... danke für den Hinweise.

      error_reporting sagt nix, weil es ist anscheinend nur eine Sicherheitslücke im Script und kein PHP-Fehler...

      Und ja, der Spam ist schon gelöscht, aber der kommt alle paar Stunden wieder...
      icedcream.de Webdesign Regensburg

      Comment

      • #4
        Erst mal würde ich überprüfen, ob das CAPTCHA denn überhaupt umgangen wird - oder ob der korrekte Code auch bei den Spam-Einträgen mitgeliefert wird. Also mal ein bisschen mitloggen ...
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Comment

        • #5
          OK, ich hau das mal in die Datenbank rein und sag euch dann beim nächsten Spam die Ergebnisse...
          icedcream.de Webdesign Regensburg

          Comment

          • #6
            Spam ist wieder da^^...

            Also:
            Das Captchabild wurde nicht aufgerufen und auch kein Code eingegeben, also geh ich davon aus, dass jmd. ein fremdes Formular benutzt hat.
            Also muss da irgend ein Fehler in der Gbook.php sein...

            EDIT:
            Ich logg mal Referer und IP-Adresse mit


            Gruß
            Macks
            Last edited by icecream; 01-12-2006, 18:50.
            icedcream.de Webdesign Regensburg

            Comment

            • #7
              Original geschrieben von icecream
              Also muss da irgend ein Fehler in der Gbook.php sein...
              ich schätze mal hier:
              $captchain = strtoupper($_POST['captcha']);
              ...
              if ($captchain != $_SESSION['code'])

              wenn das captcha nicht aufgerufen wurde und auch kein code per post kommt ist ja beides null und somit nicht ungleich.

              Comment

              • #8
                So, nochmal drüber geguckt.

                if ($captchain != $_SESSION['code']) {

                welche der beiden variablen enthalten etwas, wenn du ein spammer bist?

                Comment

                • #9
                  Hehe, beide gleichzeitig^^

                  @TobiaZ: Keine der Beiden

                  Danke für die Hilfe, hoffentlich ist jetzt der Albtraum vorbei...^^

                  Ich find das Wahnsinn, dass so eine Kleinigkeit solche Auswirkungen haben kann...^^

                  Gruß
                  Macks
                  Last edited by icecream; 01-12-2006, 19:05.
                  icedcream.de Webdesign Regensburg

                  Comment

                  Previous template Next
                  Working...
                  X