Für alle Hobbyhacker.
URL: https://www.overclockers.at/applications/news_software_fuer_diskussionsforen_verraet_passwo_83267/page_1 - zur Vollversion wechseln!
Hey !
Für alle Hobbyhacker.
ZitatDer Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.
phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Linux- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.
phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber schnell zum Erfolg führen.
Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks. (dab/c't)
steht doch eh im futter 
Dort kann man ja alles hinschreiben. Tarnen und Täuschen ! 
Zitat von The Red GuyDort kann man ja alles hinschreiben. Tarnen und Täuschen !
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025