php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Thema geschlossen
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 05-09-2008, 21:44
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Exclamation Dringend Hilfe, Hackerangriff!

Hallo

Ich habe ein Problem:

Meine Seite wird gerade von einem Hacker angegriffen.

Kurze Schilderung der Ausgangssituation:

Auf meiner Seite können User Beiträge eingeben. Ich habe auf der Seite eine Möglichkeit, einen eingegebenen Beitrag durch den Besitzer (ausschließlich) bearbeiten zu lassen. Leider habe ich dabei vergessen, dass man als NICHT Besitzer trotzdem über die Eingabe des entsprechenden Links mit der angefügten Variablen, auf diese Bearbeiten -Seite gelangen kann.

Ich muss also diese "Direktlinks" verbieten. Wie geht sowas?

Erbitte Hilfe...

Grüße, Dennis

INSERT nervenzusammenbruch TO dennis WHERE grund = 'Hacker'
  #2 (permalink)  
Alt 05-09-2008, 21:48
Blackgreetz
 PHP Junior
Links : Onlinestatus : Blackgreetz ist offline
Registriert seit: Oct 2005
Beiträge: 901
Blackgreetz ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Gibts da ein Login oder so?

Wie soll man dir helfen ohne irgendwas von dem Gegeben zu wissen?

mfg
  #3 (permalink)  
Alt 05-09-2008, 21:52
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: Dringend Hilfe, Hackerangriff!

Du muss prüfen, ob der eingeloggte auch der Besitzer ist, dann passiert sowas nicht.
  #4 (permalink)  
Alt 05-09-2008, 21:54
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

OK. Ein paar Eckdaten.

Wir haben wegen der Barrierefreiheit die Registrierung ohne Mailverifizierung zugelassen (Fehler 1 - behoben!)

Ein angemeldeter User kann Beiträge verfassen. Diese Beiträge kann jeder User danach sehen. Die Beitragsseite enthält, je nachdem, ob es sich beim Betrachter um den Erzeuger des Beitrag handelt, einen Link zu einer Bearbeiten seite nach dem Format:

.......bearbeiten.php?name=beitragsname

Die Sicherheitslücke ist also die, dass jeder User, der diesen Linkaufbau kennt, theoretisch (und praktisch) einfach den Link selber in seine Adressleiste reinschreibt und somit jeden beliebigen Beitrag ändern kann.

Ich hoffe man kann das verstehen... Ich würde ja die Seite bekanntgeben, aber nicht mit diesem Fehler ;-)
  #5 (permalink)  
Alt 05-09-2008, 21:54
lennart
 PHP Junior
Links : Onlinestatus : lennart ist offline
Registriert seit: May 2007
Ort: Hamburg
Beiträge: 565
lennart ist zur Zeit noch ein unbeschriebenes Blatt
Standard

OffTopic:
PHP-Code:
INSERT ... TO ... WHERE 
Hmmm..


Dass es keine Prüfung gibt, ist natürlich generell ne ziemlich harte Ansage.
  #6 (permalink)  
Alt 05-09-2008, 21:57
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Es gibt ne Prüfung, nämlich auf der Beitragsseite. Dort wird der bearbeiten Link nur dann angezeigt, wenn user=angemeldetet User - aber das Problem mit dem Link besteht weiterhin...
  #7 (permalink)  
Alt 05-09-2008, 21:59
Blackgreetz
 PHP Junior
Links : Onlinestatus : Blackgreetz ist offline
Registriert seit: Oct 2005
Beiträge: 901
Blackgreetz ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wenn der Link nur angezeigt wird, wenn man eingeloggt ist, dann kannst du ja auf der Edit-seite überprüfen, ob der beitrag dem benutzer gehört..

genauso, wie du vorher das ganze für den link gemacht hast..

mfg
  #8 (permalink)  
Alt 05-09-2008, 22:02
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

*patsch*

OK, da muss man erst in ein Forum schreiben um darauf zu kommen... manchmal wird man echt verpeilt, wenn man zu lange vor dem Code sitzt...

Woanders heißt das wohl Betriebsblindheit.

Ich werds mal eben testen.

Danke schonmal
  #9 (permalink)  
Alt 05-09-2008, 22:16
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

EDIT:
link und beschreibung des tollen "security-dienstleistungsangebots" entfernt (war/ist über den www-button des op zugänglich)




Geändert von 3DMax (06-09-2008 um 02:14 Uhr)
  #10 (permalink)  
Alt 05-09-2008, 22:23
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Es scheint zu klappen :-)

Supi...
  #11 (permalink)  
Alt 05-09-2008, 22:27
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Was hat der Eintrag auf der Seite DeuCoNet hier zu sagen? Ich bin ausgebildeter Fachinformatiker und habe IuK studiert. Ich betreue seit Jahren meine zufriedenen Stammkunden.

PHP ist dafür keine Voraussetzung. Dies habe ich erst vor 2 Monaten durch Selbststudium gelernt. Was also bitte soll LOL an der Stelle heißen?

Frechheit. So kann man auch die Forenkultur kaputt machen.

Vielen Dank an alle, die geholfen haben.

PS: Deuconet hat nichts mit diesem Problem zu tun.
  #12 (permalink)  
Alt 05-09-2008, 22:40
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von dennisdeutschma
Was also bitte soll LOL an der Stelle heißen?
dass ich es paradox finde, wenn ein geschäftsführer einer firma, die computersicherheits-dienstleistungen anbietet, diese lächerliche frage stellt.

begriffe wie "security by obscurity" und "never trust incoming data" sollten dann schon geläufig sein.
  #13 (permalink)  
Alt 05-09-2008, 23:04
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Was bitte ist daran paradox? Was haben Sicherheitsdienstleistungen (Antivirensoftware, Firewalls etc...) mit dem sicheren Programmieren einer webseite zu tun? Ich bin kein Webentwickler und biete das auch nicht meinen Kunden an.

Außerdem bin ich nicht mit PHP Allround -Wissen zur welt gekommen.

Wegen Typen wie dir, macht es doch immer wieder Spaß, einen Beitrag in einem Forum zu schreiben. Und Respekt: Knapp an die 2000 Beiträge... Wenn ich die Zeit dafür hätte, soviel Zeit vor dem PC zu sitzen, dann würden mir Begriffe wie "security by obscurity" und "never trust incoming data" auch ein Begriff sein. (Jaja, ich weiß, seit 2004...). Ich verdiene lieber weiter ein Schweinegeld mit meiner Firma.

Leider habe ich wohl nicht die Weisheit mit Löffeln gefressen, so wie du, aber es müsste schon einiges bei mir kaputt sein, wenn ich mich erstmal auf die Suche nach deiner Homepage begeben würde, um dich öffentlich für deine Fehler zu defamieren!

So. Wenn dies keine Vorlage für deinen nächsten Post ist... hast ja die 2000 bald voll!
  #14 (permalink)  
Alt 05-09-2008, 23:19
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

irgendwie belustigst du mich, wenn ich mir vorstelle, wie dir gerade der geifer aus deinem hochrotem kopf tropft, herr fachinformatiker.
  #15 (permalink)  
Alt 05-09-2008, 23:37
dennisdeutschma
 Newbie
Links : Onlinestatus : dennisdeutschma ist offline
Registriert seit: Aug 2008
Beiträge: 15
dennisdeutschma ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Naja, wenn es dich glücklich macht... Aber ich muss dich enttäuschen. Da ich das Problem ja jetzt beseitigt habe, kann ich mich um die beiden Mädels kümmern, die bei mir im Wohnzimmer sitzen :-)

Ich habe nämlich am Freitagabend bessere Dinge zu tun, als am PC zu sitzen und mich über andere Leute zu belustigen...

Aber über dich [...Ausdruck spare ich mir, wegen dem Niveau..] könnte ich mich beömmeln.

Dann mach mal schön weiter, wenn es dich glücklich macht. Ich kann das ab. Gib ruhig alles was du hast.

Schönes Leben weiterhin...
Thema geschlossen

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:32 Uhr.