Lustige Sicherheitslücke in phpBB3

[quote]Heute haben wir eine neue Sicherheitslücke in phpBB3 gefunden.

Es ist möglich über die indizierung eines Cross Site Script Befehles bei neuen Webservern Benutzer aus der Online Liste verschwinden zu lassen, weiterhin ist es möglich Crawler und Bots Automatisiert Joinen und Verschwinden zu lassen, ebenso die echten Crawler “Temporär” unsichtbar zu machen bis diese eine neue Seite aufrufen. Dieses kann nicht als Flooding angesehen werden sondern eher als “Groben Unfug” der wiederum keinen schaden an der Website oder dem Server verursacht. Der entstandene Traffic bei der erzeugung beträgt etwa soviel wie 3-10 Seitenaufrufe was weniger als ein Normaler Besucher wäre da hierbei Websiten nicht komplett geladen werden müssen.[/quote]

xest-international.com/Xest-News/?p=44

Das ganze hört sich ja extrem schwammig an. Nachdem was in den Blog Eintrag steht hat das ganze kaum die Qualität einer Sicherheitslücke. Wenn du das Problem etwas näher beschreiben würdest währe das toll.

Ich lade dir eben ein Video Hoch in 9 Minuten ist es oben.
Aus Sicherheitsgründen werde ich aber nur dir einen Privatlink zu Youtube Schicken da man zuviele Rückschlüsse herrausziehen kann :wink:

Bei bplaced war es leider etwas schlecht gelaufen denn als ich den Invisible Man demonstrieren wollte kam leider einer Online :ps: aber beim X Forum siehst du es.
:winke:

und was meinste Michi? :wink2:

Das mag ja sein, aber bei einer vertrauenswürdigen Webseite kann das missbraucht werden, um z.B. Fishing zu betreiben. Das nennen sie also “Groben Unfug” …

Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest :slight_smile: :wink2:

[quote=„DeusEx“]Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest :slight_smile: :wink2:[/quote]he he… ich hab deswegen ne PM geschickt :smiley:

[quote=„White-Tiger“][quote=„DeusEx“]Pardon ich wüsste nicht wie das zum Phishing geeignet wäre.

Wäre nett wenn du mir das Mitteilen könntest :slight_smile: :wink2:[/quote]he he… ich hab deswegen ne PM geschickt :smiley:[/quote]

Tut mir leid ich habe heute keine PM zu diesen Thema bekommen hmm?

also auf phpBB.de wird gesagt, dass es sich um keine „Sicherheitslücke“ handelt: phpbb.de/community/viewtopi … 3&t=205727 :wink:

es wird nur ein falscher User-Agent gesetzt und kein „Cross Site“ !coffee

ich hab eh kein plan davon… also hier nachlesen :wink:

Was er dort gesagt hat ist vollkommen richtig :wink:

Willst du mit Crawlern nerven brauchst du kein XSS.
Ich habe dir grade ein video link geschickt… frage den guten Schlaumeier doch mal wie man sich den zu 100% Unsichtbar machen kann beim PHPBB :smiley: oder wie man Crawler innerhalb von Sekunden wieder verschwinden lassen kann wenn er dir dann sagt das es nicht geht weißt du was abgeht :wink: (schau einfach das video denk bitte daran das ist ein Privater Token der gilt nur für dich und ist nicht zur weitervergabe gedacht)

lol
Was soll daran bitte XSS sein?
Ich kann mich doch überall als Google Bot ausgeben… und? habe ich etwas davon?
NEIN!
lg DHMH

[quote=“DHMH”]lol
Was soll daran bitte XSS sein?
Ich kann mich doch überall als Google Bot ausgeben… und? habe ich etwas davon?
NEIN!
lg DHMH[/quote]

Es war mir so als hätte ich geschrieben

Überfliegt ihr alles immer und schreibt irgendwas einfach? Was ist los mit euch?

Ich drücke es nochmal klar aus
"XSS brauch man wenn man sich oder andere verschwinden lassen will"

Darauf nen MJ12 Bot

[quote=“DeusEx”]Was er dort gesagt hat ist vollkommen richtig :wink:

Willst du mit Crawlern nerven brauchst du kein XSS.
Ich habe dir grade ein video link geschickt… frage den guten Schlaumeier doch mal wie man sich den zu 100% Unsichtbar machen kann beim PHPBB :smiley: oder wie man Crawler innerhalb von Sekunden wieder verschwinden lassen kann wenn er dir dann sagt das es nicht geht weißt du was abgeht :wink: (schau einfach das video denk bitte daran das ist ein Privater Token der gilt nur für dich und ist nicht zur weitervergabe gedacht)[/quote]
joa dass mit den Crawlern kann ich mir noch vorstellen… wie das mit dem “Unsichbar machen” geht wird damit allerdings wirklich nicht erklärt :wink: (hab dein video angeschaut)
wird also schon stimmen, was du sagst

[quote=„brain00“][…] wie das mit dem „Unsichbar machen“ geht wird damit allerdings wirklich nicht erklärt :wink: (hab dein video angeschaut) […][/quote]Also echt^^ Man sollte dafür kein Video benötigen müssen^^ Das meiste erklärt sich von selbst (eigentlich alles)
Selbst ich hatte schon bevor es irgendwo von jemanden gepostet hat, mich als Google ausgegeben :stuck_out_tongue: Allerdings kann man nicht eingeloggt und Bot sein gleichzeitig :frowning: (oder ich habs noch net richtig getestet)
Unsichtbar ist man in sofern das man nicht als Guest angezeigt wird und vermutlich wird nicht mal irgendetwas mitgeloggt da man als „unwichtig“ angesehn wird :wink:

Gleichzeitig ist es wichtig was mit dem Bot sein so alles verbunden ist… so kann mans sich weder Registrieren noch einloggen, dort wo FAQ etc. steht, steht nur noch FAQ und dazu wird es falsch angezeigt, User Profile gibts auch nicht etc.^^ Man wird voll beschränkt :ps:
Mich wundert nur das es phpBB so macht da es eigentlich total schlecht ist. Bei einigen Suchmaschinen fürt dies zu einer Herabstufung der Seite da diese sich auch mal als Normaler Browser ausgibt und wenn die Seite für die Suchmaschine eine andere ist gibts ärger :smiley:

PS:
ich weiß nicht was davon schon alles im Video erwähnt wurde, aber ich muss noch ergänzen das man seine Cookies der Seite löschen muss… zumindest wenn diese phpBB nutzt da ich trotz ausloggen nicht als Suchmaschine erkannt wurde solange ist noch 3 Cookies hatte^^

Ach White aus dir wird noch einmal ein guter … du bist auf einem guten Weg
aber nicht ganz :wink:

Ich habe hier nochmal ein Video gemacht um zu zeigen was man u.a machen kann.

Da ich nicht schon wieder wegen Datenmanipulation von der Staatsanwaltschaft Post bekommen möchte hier ein nett zensiertes Video

youtube.com/watch?v=zihwqZ62PvM

:wink3:

Naja sollen sie mal weiter irgendwas in phpBB erzählen die ganzen Fachleute da gäähn
Weiß garnicht was da für ein Wind drumm gemacht wird wie gesagt das ist eigentlich senseless. Genau mit der Methode kann man btw. auch andere User oder Crawler weghauen.

haste dir schon mal angesehen was du da fabriziert hast?

wo?

cheater^^ Warum wars eigentlich zuerst so eine schlechte Auflösung?

Weil Youtube etwas länger braucht bis er HD Freigibt :ps:
´Wat Cheater :smiley: ich mag es halt anonym ^^

Was genau wolltest du da eigentlich jetzt zeigen?
Das war doch klar was passiert^^

Wieso nutzt du eigentlich den IE? Zumal man mit Plugins im FF z.B. den User-Agent auch ohne Proxy ändern kann^^