|
Off-Topic Hier ist die allgemeine Plauder-Ecke. Alles, was sonst nirgends reinpasst kommt hier rein |
|
Themen-Optionen | Ansicht |
|
21.10.2011, 09:12 | #1 | |||||||||||||
König
Registriert seit: 05.06.2008
Alter: 52
Beitr?ge: 1.384
Abgegebene Danke: 267
Erhielt 414 Danke für 37 Beiträge
Downloads: 47
Uploads: 0 Nachrichten: 2349 Renommee-Modifikator:
2481 |
Ich habe immer gesagt das se absichern sollen wers net macht ist selbst schuld !
__________________
"Wenn du nicht weißt, was du tust: Machs mit Eleganz!" "Mir doch egal, wer dein Vater ist - solange ich hier angle, wird nicht übers Wasser gerannt!" "Einstein ist tot, Newton ist tot und mir ist auch schon ganz schlecht!" PHP-Code:
|
|||||||||||||
21.10.2011, 10:04 | #2 | ||||||||||||
Profi
Registriert seit: 06.12.2008
Ort: Oberhausen/Die Macht am Niederrhein
Alter: 62
Beitr?ge: 689
Abgegebene Danke: 115
Erhielt 139 Danke für 18 Beiträge
Downloads: 175
Uploads: 0 Nachrichten: 2 Renommee-Modifikator:
1216 |
Zitat:
So back to topic Wir haben weder eine database.php noch eine avatar.php. Wir haben phpmyadmin per htaccess gesichert.Ferner auch per apache einen alias Namen verpasst. Haben modevasive, fail2ban u.s.w installiert. Nutzte aber alles nix.( Frage mich eigendlich warum das nicht gegriffen hat ) Oben steht, das die über bitbucket oder pichoster reinkamen.Wie soll man die mit check_access(UC_XXX); absichern? Können die User dann noch in ihrem bitbucket bzw. Pichoster Bilder hochladen? Fragen über Fragen. Hoffe jemand kann die Fragen beantworten gruss phenom
__________________
|
||||||||||||
21.10.2011, 09:22 | #3 | ||||||||||||
Profi
Registriert seit: 19.10.2008
Ort: Schlewig-Holstein
Beitr?ge: 656
Abgegebene Danke: 16
Erhielt 133 Danke für 21 Beiträge
Downloads: 5
Uploads: 0 Nachrichten: 329 Renommee-Modifikator:
1252 |
Sorry Leute, aber wer Tracker fährt und nicht willens oder in der Lage ist sich auf den einschlägigen Boards über (bereits seit längerem bekannte) Sicherheitslücken zu informieren, hat nichts Besseres verdient. Da sollte man den Scriptkiddies eher noch dankbar sein, denn auf solchen Trackern wird mit der Sicherheit fahrlässig umgegangen.
__________________
I've lived a life that's full
and more, much more than this I did it my way Zitat:
|
||||||||||||
21.10.2011, 12:51 | #4 | |||||||||||
König
Registriert seit: 14.02.2011
Ort: Graz
Alter: 39
Beitr?ge: 1.495
Abgegebene Danke: 82
Erhielt 200 Danke für 37 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 6230 Renommee-Modifikator:
3168 |
Kleine Anregung wie ich dass mit erlaubten Files mache, läuft übrigens über den Mimetype!
HTML-Code:
CREATE TABLE IF NOT EXISTS `mime_types` ( `id` int(11) NOT NULL auto_increment, `mimetype` varchar(255) NOT NULL default '', `name` varchar(255) NOT NULL default '', `modul` enum('gallery','downloads','usergallery','mailcenter','homepage','forum','contest','document','store','video','screenshot') default NULL, `tool` enum('mediaplayer','quicktime','realplayer','flash','divx') default NULL, `image` varchar(20) NOT NULL default '', PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=95 ; INSERT INTO `mime_types` (`id`, `mimetype`, `name`, `modul`, `tool`, `image`) VALUES (90, 'image/gif', 'GIF-Dateien', 'screenshot', '', 'gif'), (91, 'image/jpeg', 'JPEG-Dateien', 'screenshot', '', 'jpg'), (92, 'image/pjpeg', 'JPEG-Dateien', 'screenshot', '', 'jpg'), (93, 'image/x-png', 'PNG-Dateien', 'screenshot', '', 'png'); PHP-Code:
Anzeige von "Welche MimeTypen sind erlaubt" PHP-Code:
__________________
Ge?ndert von Stifler (21.10.2011 um 12:53 Uhr) |
|||||||||||
21.10.2011, 12:59 | #5 | |||||||||||
Erfahrener Benutzer
Registriert seit: 15.08.2008
Beitr?ge: 179
Abgegebene Danke: 124
Erhielt 0 Danke für 0 Beiträge
Downloads: 18
Uploads: 0 Nachrichten: 6 Renommee-Modifikator:
196 |
Der Upload von .css, .php, .js etc. klappt bei uns nicht via Bitbucket/PicHoster.
Also muss es ne andere lücke geben. Der Vogel war noch so frech das ganze in der Shout anzukündigen LG Castor |
|||||||||||
21.10.2011, 13:07 | #6 | |||||||||||
König
Registriert seit: 14.02.2011
Ort: Graz
Alter: 39
Beitr?ge: 1.495
Abgegebene Danke: 82
Erhielt 200 Danke für 37 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 6230 Renommee-Modifikator:
3168 |
Weiß ja nicht wie der BitBucket und Filehoster oder was auch immer funktioniert aber wenn dass mit file=filename oder pic=bild.jpg geht und keine ordentlichen Vorkehrungen getroffen sind dass man sich net mit file=../../ rumbewegen kann dann ist das des Rätsels lösung
Ein Ansatz wäre bei bei den Bildern bei der Ausgabe mal mit PHP-Code:
Damit kann er sich zwar in den Verzeichnissen bewegen bekommt aber nur Bilder ausgegeben!
__________________
|
|||||||||||
21.10.2011, 13:17 | #7 | |||||||||||
Erfahrener Benutzer
Registriert seit: 07.03.2010
Beitr?ge: 436
Abgegebene Danke: 12
Erhielt 38 Danke für 2 Beiträge
Downloads: 15
Uploads: 0 Nachrichten: 309 Renommee-Modifikator:
1821 |
Was hat er denn überhaupt für Schaden angerichtet?
|
|||||||||||
21.10.2011, 13:34 | #8 |
Ausbilder Schmidt
Registriert seit: 30.10.2008
Ort: Essen (Ruhr) Ruhrpott4Ever :D
Alter: 36
Beitr?ge: 2.665
Abgegebene Danke: 107
Erhielt 1.644 Danke für 154 Beiträge
Downloads: 43
Uploads: 1 Nachrichten: 3942 Renommee-Modifikator:
10 |
Noch eine ziemlich sichere Methode ist
PHP-Code:
also aus /../../../xxx.php wird xxx.php so kann man eine deartige lücken nicht mehr ausnutzen
__________________
|
21.10.2011, 14:33 | #9 | |||||||||||
Benutzer
Registriert seit: 26.03.2010
Ort: Seniorhausen :D
Beitr?ge: 37
Abgegebene Danke: 3
Erhielt 0 Danke für 0 Beiträge
Downloads: 49
Uploads: 0 Nachrichten: 87 Renommee-Modifikator:
0 |
PHP-Suhosin-Patch
hi,
ich ( DareDevil ) will hier keinen krieg vom zaum brechen aber beleidigen lassen muss ich mich auch nich ...... aber es gibt ein paar sachen da bin ich echt zu alt für und leute die meine kinder sein könnten auf dessen sprüche seh ich einfach drüber weg. es ist absolut sicher ich hab diejenigen gefunden die die angriffe auf die tracker gestartet haben. mittlerweile haben die auch schon wind davon bekommen und ihre reg geschlossen das ist aber kein problem die fühlen sich sicher ..... ok ich lass sie bis heute abend in dem glauben. desweiteren waren wir weiter auf der suche nach möglichen lücken ( das zu dem thema wir sind zu blöde ) aber man muss lücken ersmal erkennen bevor man sie stopen kann oder wollt ihr sagen das BKA und die Nasa sind auch zu blöde ??? die wurden auch schon gehackt aber das is en anderes thema. hab selber 12 jahre berufserfahrung in einer behörde und mus merken das man nie auslernt. hab nun folgende frage schaut euch mal bei googel das hier an weiss jetzt nich ob links hier erlaubt sind deswegen nur die info hier : Querelen um PHP-Suhosin-Patch Die Sicherheitserweiterung Suhosin für PHP führte auf manchen Systemen zu Abstürzen. Ein Patch der Debian-Maintainer beseitigte dieses Problem, öffnete aber ein potenzielles Sicherheitsloch. Jetzt tobt ein Streit darüber, wer da was falsch gemacht hat. wäre dankbar wen ich eine info bekommen könnte ob wir da richtig mit liegen. mfg DD |
|||||||||||
21.10.2011, 14:58 | #10 | |||||||||||
Erfahrener Benutzer
Registriert seit: 11.12.2010
Ort: Bayern
Beitr?ge: 188
Abgegebene Danke: 12
Erhielt 17 Danke für 4 Beiträge
Downloads: 42
Uploads: 0 Nachrichten: 24 Renommee-Modifikator:
0 |
dieses thema ist sowas von sinnlos gib doch deine IPs weiter von den mutmasslichen hackern was bringt dir das wen du trotzdem nix absicherst wird er dich immer wieder platt machen eig. nur zum lachen
|
|||||||||||
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
|
|