Lustige Sicherheitslücke in phpBB3

DeusEx · April 28, 2010, 10:09pm

[quote]Heute haben wir eine neue Sicherheitslücke in phpBB3 gefunden.

Es ist möglich über die indizierung eines Cross Site Script Befehles bei neuen Webservern Benutzer aus der Online Liste verschwinden zu lassen, weiterhin ist es möglich Crawler und Bots Automatisiert Joinen und Verschwinden zu lassen, ebenso die echten Crawler “Temporär” unsichtbar zu machen bis diese eine neue Seite aufrufen. Dieses kann nicht als Flooding angesehen werden sondern eher als “Groben Unfug” der wiederum keinen schaden an der Website oder dem Server verursacht. Der entstandene Traffic bei der erzeugung beträgt etwa soviel wie 3-10 Seitenaufrufe was weniger als ein Normaler Besucher wäre da hierbei Websiten nicht komplett geladen werden müssen.[/quote]

xest-international.com/Xest-News/?p=44

michi1234 · April 29, 2010, 8:26am

Das ganze hört sich ja extrem schwammig an. Nachdem was in den Blog Eintrag steht hat das ganze kaum die Qualität einer Sicherheitslücke. Wenn du das Problem etwas näher beschreiben würdest währe das toll.

DeusEx · April 29, 2010, 8:34am

Ich lade dir eben ein Video Hoch in 9 Minuten ist es oben.
Aus Sicherheitsgründen werde ich aber nur dir einen Privatlink zu Youtube Schicken da man zuviele Rückschlüsse herrausziehen kann

Bei bplaced war es leider etwas schlecht gelaufen denn als ich den Invisible Man demonstrieren wollte kam leider einer Online aber beim X Forum siehst du es.

DeusEx · April 29, 2010, 6:34pm

und was meinste Michi?

progandy · April 29, 2010, 6:45pm

Das mag ja sein, aber bei einer vertrauenswürdigen Webseite kann das missbraucht werden, um z.B. Fishing zu betreiben. Das nennen sie also “Groben Unfug” …

DeusEx · April 29, 2010, 8:28pm

Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest

White-Tiger · April 29, 2010, 8:36pm

[quote=„DeusEx“]Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest [/quote]he he… ich hab deswegen ne PM geschickt

DeusEx · April 30, 2010, 4:04am

[quote=„White-Tiger“][quote=„DeusEx“]Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest [/quote]he he… ich hab deswegen ne PM geschickt [/quote]

Tut mir leid ich habe heute keine PM zu diesen Thema bekommen hmm?

brain00 · May 3, 2010, 11:52am

also auf phpBB.de wird gesagt, dass es sich um keine „Sicherheitslücke“ handelt: phpbb.de/community/viewtopi … 3&t=205727

es wird nur ein falscher User-Agent gesetzt und kein „Cross Site“

ich hab eh kein plan davon… also hier nachlesen

DeusEx · May 3, 2010, 12:20pm

Was er dort gesagt hat ist vollkommen richtig

Willst du mit Crawlern nerven brauchst du kein XSS.
Ich habe dir grade ein video link geschickt… frage den guten Schlaumeier doch mal wie man sich den zu 100% Unsichtbar machen kann beim PHPBB oder wie man Crawler innerhalb von Sekunden wieder verschwinden lassen kann wenn er dir dann sagt das es nicht geht weißt du was abgeht (schau einfach das video denk bitte daran das ist ein Privater Token der gilt nur für dich und ist nicht zur weitervergabe gedacht)

CryNickSystems · May 3, 2010, 12:28pm

lol
Was soll daran bitte XSS sein?
Ich kann mich doch überall als Google Bot ausgeben… und? habe ich etwas davon?
NEIN!
lg DHMH

DeusEx · May 3, 2010, 12:30pm

[quote=“DHMH”]lol
Was soll daran bitte XSS sein?
Ich kann mich doch überall als Google Bot ausgeben… und? habe ich etwas davon?
NEIN!
lg DHMH[/quote]

Es war mir so als hätte ich geschrieben

Überfliegt ihr alles immer und schreibt irgendwas einfach? Was ist los mit euch?

Ich drücke es nochmal klar aus
"XSS brauch man wenn man sich oder andere verschwinden lassen will"

Darauf nen MJ12 Bot

brain00 · May 3, 2010, 4:12pm

[quote=“DeusEx”]Was er dort gesagt hat ist vollkommen richtig

Willst du mit Crawlern nerven brauchst du kein XSS.
Ich habe dir grade ein video link geschickt… frage den guten Schlaumeier doch mal wie man sich den zu 100% Unsichtbar machen kann beim PHPBB oder wie man Crawler innerhalb von Sekunden wieder verschwinden lassen kann wenn er dir dann sagt das es nicht geht weißt du was abgeht (schau einfach das video denk bitte daran das ist ein Privater Token der gilt nur für dich und ist nicht zur weitervergabe gedacht)[/quote]
joa dass mit den Crawlern kann ich mir noch vorstellen… wie das mit dem “Unsichbar machen” geht wird damit allerdings wirklich nicht erklärt (hab dein video angeschaut)
wird also schon stimmen, was du sagst

White-Tiger · May 3, 2010, 4:22pm

[quote=„brain00“][…] wie das mit dem „Unsichbar machen“ geht wird damit allerdings wirklich nicht erklärt (hab dein video angeschaut) […][/quote]Also echt^^ Man sollte dafür kein Video benötigen müssen^^ Das meiste erklärt sich von selbst (eigentlich alles)
Selbst ich hatte schon bevor es irgendwo von jemanden gepostet hat, mich als Google ausgegeben Allerdings kann man nicht eingeloggt und Bot sein gleichzeitig (oder ich habs noch net richtig getestet)
Unsichtbar ist man in sofern das man nicht als Guest angezeigt wird und vermutlich wird nicht mal irgendetwas mitgeloggt da man als „unwichtig“ angesehn wird

Gleichzeitig ist es wichtig was mit dem Bot sein so alles verbunden ist… so kann mans sich weder Registrieren noch einloggen, dort wo FAQ etc. steht, steht nur noch FAQ und dazu wird es falsch angezeigt, User Profile gibts auch nicht etc.^^ Man wird voll beschränkt
Mich wundert nur das es phpBB so macht da es eigentlich total schlecht ist. Bei einigen Suchmaschinen fürt dies zu einer Herabstufung der Seite da diese sich auch mal als Normaler Browser ausgibt und wenn die Seite für die Suchmaschine eine andere ist gibts ärger

PS:
ich weiß nicht was davon schon alles im Video erwähnt wurde, aber ich muss noch ergänzen das man seine Cookies der Seite löschen muss… zumindest wenn diese phpBB nutzt da ich trotz ausloggen nicht als Suchmaschine erkannt wurde solange ist noch 3 Cookies hatte^^

DeusEx · May 3, 2010, 8:17pm

Ach White aus dir wird noch einmal ein guter … du bist auf einem guten Weg
aber nicht ganz

Ich habe hier nochmal ein Video gemacht um zu zeigen was man u.a machen kann.

Da ich nicht schon wieder wegen Datenmanipulation von der Staatsanwaltschaft Post bekommen möchte hier ein nett zensiertes Video

youtube.com/watch?v=zihwqZ62PvM

:wink3:

Naja sollen sie mal weiter irgendwas in phpBB erzählen die ganzen Fachleute da gäähn
Weiß garnicht was da für ein Wind drumm gemacht wird wie gesagt das ist eigentlich senseless. Genau mit der Methode kann man btw. auch andere User oder Crawler weghauen.

White-Tiger · May 3, 2010, 8:25pm

haste dir schon mal angesehen was du da fabriziert hast?

DeusEx · May 3, 2010, 8:26pm

wo?

White-Tiger · May 3, 2010, 8:30pm

cheater^^ Warum wars eigentlich zuerst so eine schlechte Auflösung?

DeusEx · May 3, 2010, 8:30pm

Weil Youtube etwas länger braucht bis er HD Freigibt
´Wat Cheater ich mag es halt anonym ^^

White-Tiger · May 3, 2010, 8:33pm

Was genau wolltest du da eigentlich jetzt zeigen?
Das war doch klar was passiert^^

Wieso nutzt du eigentlich den IE? Zumal man mit Plugins im FF z.B. den User-Agent auch ohne Proxy ändern kann^^