NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver

Webserver Fragen zum Apache, MySQL-Einrichtung und was sonst noch mit WebServern zu tun hat

Thema geschlossen
 
Themen-Optionen Ansicht
Alt 23.09.2012, 14:41   #1
phenom
Profi
Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Badboy Benutzer besitzt 1x Spamer Benutzer besitzt 1x Angel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von phenom
 
Registriert seit: 06.12.2008
Ort: Oberhausen/Die Macht am Niederrhein
Alter: 62
Beitr?ge: 689
Abgegebene Danke: 115
Erhielt 139 Danke für 18 Beiträge
Downloads: 175
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
1216 phenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehen
Standard Micro CMS

Habe da mal was Interessantes gefunden.

https://www.entwickler-konferenz.de/...30656,p,0.html

Ev. weis ja einer die Lösung.Auch wenn dort steht

Lösung:
Die SQL-Injection-Schwachstelle erlaubt u.a. das Umgehen der Authentifizierung.
Eine Lösung ist nicht verfügbar.

LG
phenom
__________________





phenom ist offline   Nach oben
Alt 23.09.2012, 15:30   #2
ike
Erfahrener Benutzer
Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33
Levelaufstieg: 22% Levelaufstieg: 22% Levelaufstieg: 22%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Profi Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Hilfe Level 2
 
Benutzerbild von ike
 
Registriert seit: 07.03.2010
Beitr?ge: 436
Abgegebene Danke: 12
Erhielt 38 Danke für 2 Beiträge
Downloads: 15
Uploads: 0
Nachrichten: 309
Renommee-Modifikator:
1821 ike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehen
Standard

Das Ding ist schrott, da ist ja überhaupt nix abgesichert.
ike ist offline   Nach oben
Alt 23.09.2012, 15:34   #3
phenom
Profi
Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Badboy Benutzer besitzt 1x Spamer Benutzer besitzt 1x Angel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von phenom
 
Registriert seit: 06.12.2008
Ort: Oberhausen/Die Macht am Niederrhein
Alter: 62
Beitr?ge: 689
Abgegebene Danke: 115
Erhielt 139 Danke für 18 Beiträge
Themenstarter Themenstarter
Downloads: 175
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
1216 phenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehen
Standard

Zitat:
Zitat von ike Beitrag anzeigen
Das Ding ist schrott, da ist ja überhaupt nix abgesichert.
Ich weis zwar jetzt nich was Du meinst,aber was solls.

Wo ist was nicht abgesichert, und was ist Schrott?

Übrigens habe ich genau diese Meldung von einem Tracker erhalten.
__________________





phenom ist offline   Nach oben
Alt 23.09.2012, 16:26   #4
ike
Erfahrener Benutzer
Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33
Levelaufstieg: 22% Levelaufstieg: 22% Levelaufstieg: 22%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Profi Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Hilfe Level 2
 
Benutzerbild von ike
 
Registriert seit: 07.03.2010
Beitr?ge: 436
Abgegebene Danke: 12
Erhielt 38 Danke für 2 Beiträge
Downloads: 15
Uploads: 0
Nachrichten: 309
Renommee-Modifikator:
1821 ike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehen
Standard

Zitat:
Zitat von phenom Beitrag anzeigen
Ich weis zwar jetzt nich was Du meinst,aber was solls.
Nicht? Das ist traurig, solange wie du schon dabei bist sollte man meinen das du das selbst siehst. Es werden weder Ausgaben noch Eingaben gefiltert.

Zitat:
Zitat von phenom Beitrag anzeigen
Wo ist was nicht abgesichert, und was ist Schrott?
Überall!

Auszug aus microcms-admin-login.php:
PHP-Code:
            $sql '
                SELECT *
                FROM microcms_administrators
                WHERE administrators_username = "' 
$_POST['administrators_username'] . '" and
                    administrators_pass = PASSWORD("' 
$_POST['administrators_pass'] . '")';
            
$user_result mysql_query($sql); 
Auszug aus microcms-admin-home.php:

PHP-Code:
    if ($_GET['action'] == 'delete_blurb') {
        
$result mysql_query('
            SELECT *
            FROM microcms_content_blurbs
            WHERE content_blurbs_id = "' 
$_GET['id'] . '"');
        
$row mysql_fetch_array($result);
        
        
$delete mysql_query('
            DELETE FROM microcms_content_blurb_history
            WHERE content_blurbs_variable = "' 
$row['content_blurbs_variable'] . '"');
            
        
$delete mysql_query('
            DELETE FROM microcms_content_blurbs
            WHERE content_blurbs_id = "' 
$_GET['id'] . '"');
        echo 
mysql_error();
        
$result_div .= getResultDiv('<strong>The blurb has been removed.</strong>','success'); 
    }

/............../

            
$admin_block .= '
                <tr>
                    <td class="' 
$row_style '">' $row['administrators_id'] . '</td>
                    <td class="' 
$row_style '">' $row['administrators_username'] . '</td>
                    <td class="' 
$row_style '">' $level '</td>
                    <td class="' 
$row_style '"><a href="mailto:' $row['administrators_email'] . '">' $row['administrators_email'] . '</a></td>
                    <td class="' 
$row_style '">
                        <a onClick="switchImage (\'micro_cms_files/images/plus.gif\',\'micro_cms_files/images/minus.gif\',\'admin_image_' 
$row['administrators_id'] . '\')" href="javascript:toggleLayer(\'edit-' $row['administrators_id'] . '\');"><img src="micro_cms_files/images/plus.gif" name="admin_image_' $row['administrators_id'] . '"  id="admin_image_' $row['administrators_id'] . '" /></a>
    
                        <div class="hidden highlighted-border" id="edit-' 
$row['administrators_id'] . '">
                        
                        <form action="microcms-admin-home.php" method="post">
                            <input type="hidden" name="action" value="change_password" />
                            <input type="hidden" name="administrators_id" value="' 
$row['administrators_id'] . '" />
                            New Pass: <input type="text" size="10" name="administrators_password" /> 
                            <input type="submit" value="Change Pass &gt;" />
                        </form>
                        </div>
                    </td>
                    <td class="' 
$row_style ' nowrap">
                        <form action="microcms-admin-home.php" method="post">
                            <input type="hidden" name="action" value="delete_admin" />
                            <input type="hidden" name="administrators_id" value="' 
$row['administrators_id'] . '" />
                            <input type="submit" value="Delete" onclick="return confirm(\'Are you sure you want to delete the following administrator: ' 
$row['administrators_username'] . '?\')"  />
                        </form>
                    </td>
                </tr>'
;
        } 
Zitat:
Zitat von phenom Beitrag anzeigen
Übrigens habe ich genau diese Meldung von einem Tracker erhalten.
Mit recht, ist ja auch Schrott ;-)
ike ist offline   Nach oben
Alt 23.09.2012, 18:51   #5
phenom
Profi
Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Badboy Benutzer besitzt 1x Spamer Benutzer besitzt 1x Angel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von phenom
 
Registriert seit: 06.12.2008
Ort: Oberhausen/Die Macht am Niederrhein
Alter: 62
Beitr?ge: 689
Abgegebene Danke: 115
Erhielt 139 Danke für 18 Beiträge
Themenstarter Themenstarter
Downloads: 175
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
1216 phenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehen
Standard

Zitat:
Zitat von ike Beitrag anzeigen
Nicht? Das ist traurig, solange wie du schon dabei bist sollte man meinen das du das selbst siehst. Es werden weder Ausgaben noch Eingaben gefiltert.



Überall!

Auszug aus microcms-admin-login.php:
PHP-Code:
            $sql '
                SELECT *
                FROM microcms_administrators
                WHERE administrators_username = "' 
$_POST['administrators_username'] . '" and
                    administrators_pass = PASSWORD("' 
$_POST['administrators_pass'] . '")';
            
$user_result mysql_query($sql); 
Auszug aus microcms-admin-home.php:

PHP-Code:
    if ($_GET['action'] == 'delete_blurb') {
        
$result mysql_query('
            SELECT *
            FROM microcms_content_blurbs
            WHERE content_blurbs_id = "' 
$_GET['id'] . '"');
        
$row mysql_fetch_array($result);
        
        
$delete mysql_query('
            DELETE FROM microcms_content_blurb_history
            WHERE content_blurbs_variable = "' 
$row['content_blurbs_variable'] . '"');
            
        
$delete mysql_query('
            DELETE FROM microcms_content_blurbs
            WHERE content_blurbs_id = "' 
$_GET['id'] . '"');
        echo 
mysql_error();
        
$result_div .= getResultDiv('<strong>The blurb has been removed.</strong>','success'); 
    }

/............../

            
$admin_block .= '
                <tr>
                    <td class="' 
$row_style '">' $row['administrators_id'] . '</td>
                    <td class="' 
$row_style '">' $row['administrators_username'] . '</td>
                    <td class="' 
$row_style '">' $level '</td>
                    <td class="' 
$row_style '"><a href="mailto:' $row['administrators_email'] . '">' $row['administrators_email'] . '</a></td>
                    <td class="' 
$row_style '">
                        <a onClick="switchImage (\'micro_cms_files/images/plus.gif\',\'micro_cms_files/images/minus.gif\',\'admin_image_' 
$row['administrators_id'] . '\')" href="javascript:toggleLayer(\'edit-' $row['administrators_id'] . '\');"><img src="micro_cms_files/images/plus.gif" name="admin_image_' $row['administrators_id'] . '"  id="admin_image_' $row['administrators_id'] . '" /></a>
    
                        <div class="hidden highlighted-border" id="edit-' 
$row['administrators_id'] . '">
                        
                        <form action="microcms-admin-home.php" method="post">
                            <input type="hidden" name="action" value="change_password" />
                            <input type="hidden" name="administrators_id" value="' 
$row['administrators_id'] . '" />
                            New Pass: <input type="text" size="10" name="administrators_password" /> 
                            <input type="submit" value="Change Pass &gt;" />
                        </form>
                        </div>
                    </td>
                    <td class="' 
$row_style ' nowrap">
                        <form action="microcms-admin-home.php" method="post">
                            <input type="hidden" name="action" value="delete_admin" />
                            <input type="hidden" name="administrators_id" value="' 
$row['administrators_id'] . '" />
                            <input type="submit" value="Delete" onclick="return confirm(\'Are you sure you want to delete the following administrator: ' 
$row['administrators_username'] . '?\')"  />
                        </form>
                    </td>
                </tr>'
;
        } 
Mit recht, ist ja auch Schrott ;-)
hm.. ich weis ja nich wo du die php´s jetzt ausgeraben hast,kann sie auf der seite von oben nicht finden.aber das sollte auch nur ein hinweis sein,das es solch eine lücke gibt.nunja,lass ich es beim nächsten mal.
__________________





phenom ist offline   Nach oben
Alt 23.09.2012, 19:16   #6
ike
Erfahrener Benutzer
Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33 Punkte: 2.933, Level: 33
Levelaufstieg: 22% Levelaufstieg: 22% Levelaufstieg: 22%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Profi Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Hilfe Level 2
 
Benutzerbild von ike
 
Registriert seit: 07.03.2010
Beitr?ge: 436
Abgegebene Danke: 12
Erhielt 38 Danke für 2 Beiträge
Downloads: 15
Uploads: 0
Nachrichten: 309
Renommee-Modifikator:
1821 ike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehenike genießt hohes Ansehen
Standard

Zitat:
Zitat von phenom Beitrag anzeigen
aber das sollte auch nur ein hinweis sein
FALSCH! Du hast gefragt ob jemand weiß wie die Lücke geschlossen wird.

Zitat:
Zitat von phenom Beitrag anzeigen
das es solch eine lücke gibt.nunja,lass ich es beim nächsten mal.
Du fühlst dich jetzt ernsthaft ans Bein gepisst weil ich sage das das Teil schrott ist? Ist ja wohl ein Scherz!

Gib beim Admin-Login als Benutzername deinen Namen und bei Passwort {") OR 1=1 -- } ohne die {} ein, dann siehst du warum das Teil Schrott ist!


Ich befürchte aber langsam das du nichtmal weißt das die Meldung um dieses CMS geht: http://www.impliedbydesign.com/ibd-m...t-manager.html

Ge?ndert von ike (23.09.2012 um 19:22 Uhr)
ike ist offline   Nach oben
Alt 23.09.2012, 16:39   #7
Stifler
König
Punkte: 39.887, Level: 100 Punkte: 39.887, Level: 100 Punkte: 39.887, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von Stifler
 
Registriert seit: 14.02.2011
Ort: Graz
Alter: 39
Beitr?ge: 1.495
Abgegebene Danke: 82
Erhielt 200 Danke für 37 Beiträge
Downloads: 11
Uploads: 0
Nachrichten: 6230
Renommee-Modifikator:
3168 Stifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes AnsehenStifler genießt hohes Ansehen
Standard

Steht sogar auf deren Website
Zitat:
We have taken down the IBD Micro-CMS demo for now, due to some security issues. As soon as we are able, we will be putting it back up.
__________________
Stifler ist offline   Nach oben
Alt 23.09.2012, 19:00   #8
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
 
Benutzerbild von Thunder™
 
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Renommee-Modifikator:
3552 Thunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes Ansehen
Standard

ist auf deutsch ne Einladung vorbei zu schauen..^^
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein.
Thunder™ ist offline   Nach oben
Alt 23.09.2012, 20:23   #9
bl0bb
Erfahrener Benutzer
Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73
Levelaufstieg: 19% Levelaufstieg: 19% Levelaufstieg: 19%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von bl0bb
 
Registriert seit: 04.04.2011
Beitr?ge: 247
Abgegebene Danke: 6
Erhielt 94 Danke für 7 Beiträge
Downloads: 2
Uploads: 0
Nachrichten: 34
Renommee-Modifikator:
1013 bl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehen
Standard

Warum wird hier so ein Wind gemacht? Die Meldung ist 3 Jahre alt, und das CMS schon lange tot.
bl0bb ist offline   Nach oben
Alt 23.09.2012, 22:42   #10
Lex
Böser Mod / NvT Terrorist
Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100 Punkte: 58.497, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 33,3% Aktivität: 33,3% Aktivität: 33,3%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Helfer Benutzer besitzt 1x Ideen-Spender
 
Benutzerbild von Lex
 
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0
Nachrichten: 10609
Renommee-Modifikator:
4016 Lex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes AnsehenLex genießt hohes Ansehen
Standard

Damit wäre hier dann wohl erstma dicht.





Lg Lex
__________________
Lex the NetVision Terrorist
june: Feinfühlig? Ich bin Typus Axt im Walde
Lex: Axt? Was bin dann ich? Sägewerk?
Cerberus
: nee --du bist Waldbrand ...
Lex ist offline   Nach oben
Thema geschlossen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:40 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS