informatie beveiliging?

Yup, volgens mij is t.net hacked

Zag dat de link al van de frontpage was gehaald door 1 van de crew leden.

Ook stond er boven als user: meneer hacker

Ook dat is al verwijderd

Je kunt ook al niet meer reageren op de post van de hackers

Ja, T.net is inderdaad gehekt door twee lieden die al eerder een "lek" hadden gevonden, dat hebben ze nu aangetoond, ze wilden dat het bericht bleef staan tot 21:30 en dan zouden ze Femme een mail sturen met de details en info wat ze gevonden en gedaan hadden.

Dit was een compleet vriendelijke hack, van bekenden, wat er ook bij staat.

Alleen heerst er op de chat grote ontevredenheid dat het stukje weggehaalt is, terwijl het een hele mooie hack was.

Dit soort leks waren al eens verteld aan femme door luite, maar niet op gereageerd, men maakt geen vrienden door het eraf te halen.

Hehehehehe L:+L

Ik kan er wel om lachen en ze hebben goeie bedoelingen duzz

Issut dan slim dat de link voor die tijd is weggehaald ??

De tekst staat er nog, je kunt alleen niet meer de reactie lezen of erop reageren.

Wel lezen (mischien) vanzelf wel hoe of wat of waarom...

Dit is een nieuwe hack, niet gebaseerd op de lek die ze hiervoor vonden TgF. Die lek is al gedicht en kan niet meer exploited worden.

Ten tweede was die hack ook een stuk minder "krachtig" dan deze.

Maar dat was duidelijk *niet* de bedoeling. Femme moet nu het lek zelf proberen te vinden...

Voor iedereen die het nog wil weten:

http://gathering.tweakers.net/forum/list_messages/102540

Daar wordt "uitgebreid" gediscussieerd door luite en Femme, betreffende de exploit, wat ik begreep was dat ze er toen uit waren, dus snap ik niet waarom ze nu alsnog tot actie over gaan?

Ik denk dat ze aan het overleggen zijn, als ze een beetje "a good sport " zijn zetten ze hem terug op front page.

dan wens ik hem veel succes

Waarom worden wachtwoorden eigenlijk plain text in de database opgeslagen?? En dat terwijl er in SQL een standaard hash functie zit (password('bla')).. Of is het belangrijker dat mensen, waneer zij hun wachtwoord zijn vergeten, deze via email weer overnieuw kunnen krijgen???

Dat is simpel op te lossen door ze een nieuw random wachtwoord te geven, deze gehashed op te slaan in de db en te versturen via email met de mededeling het wachtwoord te veranderen.....

pff .. * Janoz is gerust gesteld...

Jammer alleen dat niet alle met passwords beveiligde sites dat doen....

De hack kan nog mooier door de webmaster te vertellen wat het lek is.

Die uitleg komt nog, maak je niet te druk Femme

ik wil je alles uitleggen hoor. we willen
alleen beetje aandacht vestigen op security.
wil je dan aub artikel weer online doen ?
we hebben zoals beschreven veel tijd in gestoken om mooi artikel te schrijven.

luite is als ik het goed heb nu kant en klare uitleg voor je aan het typen met fix en al.

Op maandag 15 januari 2001 18:02 schreef Femme het volgende:
De hack kan nog mooier door de webmaster te vertellen wat het lek is.

In het artikel staat ook dat we wel van plan zijn de exploit door te mailen en ook hoe je dit kunt fixen. Hierbij staat ook dat we het graag nog even online zien staan....
dit was niet bedoeld als chantage of een dreigement, maar meer als een extra reden om het nog even online te laten staan. Dit omdat we de vorige keer ook al totaal geen reactie kregen, en we graag toch een beetje terug zien van ons harde werk. Ik heb vanmiddag de hele middag over dit artikel gedaan, en xoror heeft er ook veel tijd in gestoken. Ik denk dat we beide minstens 15 uur in deze exploit hebben gestoken, dan zou het toch een beetje jammer zijn als dat zonder ook maar 1 berichtje weg was....

maak je dus niet zo druk, we willen helemaal niets beschadigen of niemand bedreigen, alleen graag een beetje eer van ons werk

We hebben nog niemand verteld van deze hack en hoe we het hebben aangepakt, er zijn dus nog geen problemen voor tweakers.net

Het staat er nog gewoon, alleen niet op de FP en men kan niet reageren, ik denk dat dat wel even genoeg is.

Ik heb de vorige keer een mailtje gestuurd, alleen geen reactie gehad. Ik heb m'n mailbox nog eens gecheckt en ik heb geen mailtje van de datum van dat mailtje dat je hier laatst in een thread hebt gepost.

Het artikel staat online. Er zijn genoeg mensen die het kunnen lezen. Aandacht (waar 't om gaat) krijg je al voldoende.

Op maandag 15 januari 2001 18:14 schreef Floris_Diemel het volgende:
Het staat er nog gewoon, alleen niet op de FP en men kan niet reageren, ik denk dat dat wel even genoeg is.

Ik vind niet dat je dit kunt zien als "staat er nog gewoon". Hij is praktisch verwijderd, alleen de mensen op GoT en irc die hem toevallig al gezien hadden of het van anderen horen zien hem nu nog.

Ik dacht dat ik dit artikel toch redelijk genuanceerd had gebracht en hoop dat ik tweakers.net daar ook niet teveel schade mee doe. Daarom vind ik het erg jammer dat hij direct weggehaald moest worden. Ik kan me de kwade reactie van femme wel enigszins indenken, maar hij moet het ook weer neit te zwaar opvatten. Het is ook zeker niet persoonlijk bedoeld.

We kunnen het natuurlijk niet maken om die exploit helemaal te verzwijgen, de mails zullen alsnog wel verstuurd worden, maar mijn respect voor femme daalt toch wel een stuk door dit gebeuren.

Een ethische verantwoorde hack kan ik wel waarderen. Zeer mooi gedaan (imho).

Ik ben t met Luite eens dat als je m van de frontpage afhaalt door bijna niemand zal worden bekeken, wat toch de bedoeling ervan was.
Die jongens nemen de moeite om een stukje erover te schrijven, iets wat ik denk door veel t.net bezoekers zal worden ervaren als een leuke manier om een hack te melden (iig voor mij )

Tweakers.net vertoont precies de reactie die ze bij andere gehackte sites altijd sterk veroordeelde.

In het vervolg dus ontvangst en lees bevestiging aanzetten als je femme een mailtje stuurt?

btw
nette hack. netjes gedocumenteerd. alleen jammer dat het gelijk weggehaald is. (alhoewel ik dat best wel een beetje kan begrijpen) maareuh strak werk luite en xoror

mischien een idee om de mail nog eens te sturen?

Jij zegt (luite) dat je een mail hebt gestuurd, hij (Femme) zegt dattie hem niet gehad heeft.

Mijn vraag aan Femme zou zijn:

"Femme, wil je dat mailtje dan alsnog"

Stel, Femme zegt:

"Ja, dat is goed"

Dan is het probleem opgelost...

Stel, Femme zegt:

"Nou nee, opzouten met die crap"

Tja, dan heb je een ander probleem.

Kwestie (IMHO) om de communicatie gaande te houden, aan beide kanten, anders blijf je heen en weer typen en is het resultaat niet wat wij allen hopen.

/me dacht zich er ook maar weer eens mee te moeten bemoeien (sorry)

Luite: Femme krijgt héél veel mail, dattie niet altijd reageert, hoeft niet per definitie te betekenen dattie de mails ook niet leest (ik spreek uit eigen ervaring).

* Floor-is gaat zich er verder niet mee bemoeien.

*kuch* http://www.security.nl/ *kuch*

read..

eere wie eere toe komt...

Op maandag 15 januari 2001 18:35 schreef TgF het volgende:
mischien een idee om de mail nog eens te sturen?

Het gaat niet om die ene mail, het gaat om de houding van femme tegenover bezoekers in het algemeen

Mooie hack! Vooral omdat jullie zo'n mooie manier hebben gevonden om dat naar buiten te brengen!

Daarom: flauw dat de admin's het niet op de frontpage laten staan...!

slik zo snel al op security.nl
oke de fix wordt zo gemailed (like nu).

ik hoop wel dat jullie artikel nog ooit online zetten als alles is gefixt

Ik ben ook van meening dat het weer terug moet op de frontpage !!. ik vind het een degelijk artikel en het is flauwekul om dat er af te halen..

Tuurlijk is het niet leuk als je werk (van Femme, in dit geval ) niet helemaal waterdicht is of niet klopt / afgezeken word (wat trouwens zker niet het geval is) maar daar hoef je toch niet voor te schamen !! (..Femme)

SH*T HAPPENS.. ook al zou het niet mogen gebeuren..

Misschien is het een iedee om als alles weer dicht zit (ff ton met met beton kappen ) er een artikeltje over te schrijven.. zeer intresant voor mensen die zich bezig houden met PHP + MySQL (like me)...

TGF wat lul je nu allemaal?

security.nl was er snel bij bedoel ik daar mee hoor.

Je reactie in die post op t.net ( je ziet de reacties niet meer maar ze zijn er nog wel )

was ook al zo idioot......

Zoals jij het zeg lijkt het net of ik iets tegen security.nl heb, zeker niet hoor.

Op maandag 15 januari 2001 18:24 schreef Phantom_ het volgende:
Een ethische verantwoorde hack kan ik wel waarderen. Zeer mooi gedaan (imho).

Even zonder meteen achter de rest van de adjes/modjes aan te lopen, ik ben het hier helemaal mee eens

Alhoewel ik ook moeite zou hebben hem te laten staan op de frontpage, kan me het gevoel wel voorstellen wat je hebt als je zoiets op je eigen goedlopende site hebt staan.

Op maandag 15 januari 2001 18:50 schreef Thermo het volgende:
TGF wat lul je nu allemaal?

security.nl was er snel bij bedoel ik daar mee hoor.

Je reactie in die post op t.net ( je ziet de reacties niet meer maar ze zijn er nog wel )

was ook al zo idioot......

Mijn reactie was puur gericht op het woord "jongerensite" en daarnaast zal het mij een worst wezen of JIJ mijn reactie idioot vond, laat mij lekker zelf bepalen wat ik wel en niet vind!

Ik bedoel je mag van mij best komen met argumenten waarom ik wel of niet gelijk zou hebben, maar IMHO zijn idioten mensen die als eerste roepen dat een reactie ook al zo idioot was.

Maar goed, daar ging het hier niet om.

Update:

Waar het mij om gaat is dat je elkaar hier in ieder zijn eigen waarde laat, ik word nogal snel pissig van omperkingen als "idioot" of "dom", ik neem aan dat we hier gewoon als een stel volwassenen met elkaar van gedachten kunnen wisselen.

Dat je het niet eens bent met mijn reactie op het artikel, daar kan ik best vrede mee hebben, mischien kom je wel met argumenten dat ik je nog gelijk ga geven ook, maar om me (indirect) idioot te noemen, nou nee.

Op maandag 15 januari 2001 18:54 schreef TgF het volgende:

[..]
Mijn reactie was puur gericht op het woord "jongerensite" en daarnaast zal het mij een worst wezen of JIJ mijn reactie idioot vond, laat mij lekker zelf bepalen wat ik wel en niet vind!

Ik bedoel je mag van mij best komen met argumenten waarom ik wel of niet gelijk zou hebben, maar IMHO zijn idioten mensen die als eerste roepen dat een reactie ook al zo idioot was.

Maar goed, daar ging het hier niet om.

ach, ga toch een in een vierkant rennen

Zeker niet, en ik ben niet 1 van die idioten.

Maar ik las die andere reactie van je en daar kraakte je dit nogal af.

Ik snap dat je tegen een hack iets kan hebben, maar ik zie niet in wat hier mis mee is.

en over dat security , zie mijn edit, en waarschijnlijk heb jij mij en ik jou verkeerd begrepen ...

mocht je je hierdoor aangevallen voelen, of ergens iedergeval beledigd, mijn excuses

en idioot( het woord ) zit er bij mij inderdaad ingebakken, zo ben ik opgegroeid, totaal niet verkeerd bedoeld hoor.


Ik was alleen beetje geprikkelt door je reactie op t.net

Okee, de mail met subject:
exploit uitleg....
is verstuurd naar, femme, rick, floris en daniel...
ik hoop dat hij aangekomen is

gelukkig, kunnen we dit onderwerp ook weer laten rusten....

Ik heb de mail binnen, een fout die ik niet helemaal begrijp, maar ik ben ook geen PHP/MySQL/Linux persoon.

TgF en Thermo: Relax ajb

En weer staat het nieuws op de frontpage..

Luite blijft bezig

dank jullie wel adjes

samen komen we er altijd uit

Op maandag 15 januari 2001 18:25 schreef Chaos het volgende:
Tweakers.net vertoont precies de reactie die ze bij andere gehackte sites altijd sterk veroordeelde.

Juist ... check deze frontpage posting:
athena.tweakers.net/reviews.dsp?Document=125

Ik weet het ... Oude koeien uit de sloot, maar ik kan het gewoon niet laten. Ook weet ik dat femme hier niet letterlijk achter stond, maar hij verbaast zich over de tumult, en dat is genoeg. Daarnaast is deze hack gedaan door een aantal vooraanstaande "twiekertjes" zoals Rick zo liefkozend zegt. Er wordt op gewezen dat dit puur in het belang van het forum was, wat in dit geval ook gedaan wordt.

Ik had eerst een enorm verhaal gemaakt, maar ik ben al heel wat gekoeld door het feit dat het nu iig netjes op de frontpage staat.. Bedankt daarvoor.

we zijn totaal relaxed floris, we hadden alleen even een meningsverschil. ( ik had trouwens weinig tijd om mijn standpunten goed te formuleren, want ik heb hier wat gezeik aan me kop op het moment, druk enzow )

Mijn dank gaat uit naar madnerd voor de perfecte reactie,

madnerd, homebooooooyyy you know I love you

Op maandag 15 januari 2001 19:20 schreef baschie het volgende:

[..]
Juist ... check deze frontpage posting:
athena.tweakers.net/reviews.dsp?Document=125

Ik weet het ... Oude koeien uit de sloot, maar ik kan het gewoon niet laten. Ook weet ik dat femme hier niet letterlijk achter stond, maar hij verbaast zich over de tumult, en dat is genoeg. Daarnaast is deze hack gedaan door een aantal vooraanstaande "twiekertjes" zoals Rick zo liefkozend zegt. Er wordt op gewezen dat dit puur in het belang van het forum was, wat in dit geval ook gedaan wordt.

Ik had eerst een enorm verhaal gemaakt, maar ik ben al heel wat gekoeld door het feit dat het nu iig netjes op de frontpage staat.. Bedankt daarvoor.

Er zit echter een belangrijk verschil tussen deze twee hacks.. Bij de C!T was er niemand om de aangebrachte veranderingen ongedaan te maken.

'k Vind het goed hoe Luite en xoror met dit veiligheidslek zijn omgegaan, maar om te eisen dat het 5 uur op de frontpage moet staan is een beetje overdreven...

Maargoed, eind goed al goed

Kan die security leak + fix ook openbaar gemaakt worden ?
Ik ben daar wel geintresseerd in, mede omdat ik zelf wel eens met php bezig ben...

De eis van 5 uur vond ik ook een beetje veel, temeer ik hier wél snel de bug willen fixen (was bij C!T niet echt het geval) en dan is het een beetje lullig als er 5 uur lang een hackmelding op je site staat. Maar goed, dat maakt niet zoveel meer uit.

Floris heeft met Luite overlegd dat de posting nu minimaal tot 20:00u blijft staan (die heb er bdw zelf neergezet). Ik heb inmiddels de mail van Luite ontvangen waarin het probleem wordt uitgelegd. Het gat is gedicht.

je had de fix zowieso wel gekregen hoor.
als je de replies van luite las dan kon je dat ook wel opmaken.

het gat is niet zomaar te vinden door iedereen. vandaar dat het geen ramp is dat het "even blijft staan".

Euhm is deze hack alleen op deze site uit te voeren of is het een exploit waar ons linux bakje thuis ook mee gehacked kan worden ? In dat geval ben ik wel benieuwd in welke hoek we dit veiligheidslek moeten zoeken. Aangezien het lek bij jullie reeds is gedicht is het niet erg om het lek openbaar te maken IMHO.

We zijn graag allemaal een beetje waterdicht tegen regen van buitenaf

op zicht heb ik er geen bezwaar tegen. alleen denk ik dat t.net het niet op prijs stelt.

Was het nou eigenlijk een exploit in de php code van femme of was het in de database ofzo? Dus wie is de schuldige, Femme of Rick?

Op maandag 15 januari 2001 19:48 schreef Ritch het volgende:
Was het nou eigenlijk een exploit in de php code van femme of was het in de database ofzo? Dus wie is de schuldige, Femme of Rick?

het was een samenloop van een lek een 'config fout'. fout zit niet in linux oid. verder wil ik er niets over zeggen tenzij t.net crew het geen probleem vindt.

Op maandag 15 januari 2001 19:48 schreef xoror het volgende:
op zicht heb ik er geen bezwaar tegen. alleen denk ik dat t.net het niet op prijs stelt.

Nou als de hack alleen op t.net uit te voeren is dan is er voor ons ook niet veel bijzonders aan. Als het echter een exploit is die is uit te voeren op meerdere sites dan is er voor ons wel wat aan. En zouden we onszelf er eventueel tegen kunnen patchen oid.
Maargoed.. De T.net crew moet het daar natuurlijk wel mee eens zijn.

De lek is nu toch gedicht dus ik zie niet in waarom het niet kan? ik heb namelijk ook een server met MySQL draaien en misschien bega ik wel dezelfde config fout???

Op maandag 15 januari 2001 19:39 schreef Femme het volgende:Het een beetje lullig als er 5 uur lang een hackmelding op je site staat. Maar goed, dat maakt niet zoveel meer uit.

Ik denk dat de hackende baby's (like: hack me baby) het op een subtiele wijze hebben aangepakt. Ze waren bereid om de lek die ze terecht gevonden hadden te geven.
Dat ze voor een kleine 5 uur op de frontpage willen staan zou ik niet zo storend vinden.

En of er nu een mooie post met een zeer goed onderbouwd verhaaltje van de hackers staat of dat één van de t.net crew leden een post doen waarin vermeld word dat t.net gehacked is rond de klok van 5 uur 15 januari j.l. doet er niet toe vind ik. Door de 'knieën' moet je toch, hoe lullig het ook is.

Ik heb wel is sites gezien die er ranziger aan toe waren. In die gevallen zou ik dus echt NIET willen dat het bleef staan!

1 ding is wel weer de wereld uit geholpen: De BUG!

Het was een probleem met passthru in de scripjes die de geuploade plaatjes uitpoepen.

De variabele wordt wel gecheckt met escapeshellcmd maar de spaties werden er niet uitgevist. Dit wordt nu wel gedaan.

Op maandag 15 januari 2001 19:52 schreef fkooman het volgende:
De lek is nu toch gedicht dus ik zie niet in waarom het niet kan? ik heb namelijk ook een server met MySQL draaien en misschien bega ik wel dezelfde config fout???

Als het een hack was die alleen op t.net mogelijk zou zijn (dus gewoon ook een code fout, en die is er dus volgens xoror), kan ik me wel voorstellen dat t.net niet staat te springen de code openbaar te maken, aangezien het dan ook een (deel) van de scripts bekend moet maken. Ok, ik weet wel dat het op zich niets uit moet maken, maar als je de source al niet weet, is het alleen maar een extra hobbel om te hacken.

Op maandag 15 januari 2001 20:01 schreef Femme het volgende:
Het was een probleem met passthru in de scripjes die de geuploade plaatjes uitpoepen.

De variabele wordt wel gecheckt met escapeshellcmd maar de spaties werden er niet uitgevist. Dit wordt nu wel gedaan.

Ah op die fiets.. Sja ik heb geen upload scripts draaien dus dat zal het probleem niet zijn.

Thanks voor de info iig

Het gaat niet zozeer om het uploaden maar om het gebruik van passthru.

Op maandag 15 januari 2001 20:01 schreef Femme het volgende:
Het was een probleem met passthru in de scripjes die de geuploade plaatjes uitpoepen.

De variabele wordt wel gecheckt met escapeshellcmd maar de spaties werden er niet uitgevist. Dit wordt nu wel gedaan.

die cat is helemaal niet nodig die je gebruikt. passthru paast al direct file door.
die Cat zorgde voor het lek.

Zonder cat werkt 't niet.

Hebben de hackers al een scheitaward nominatie?

Op maandag 15 januari 2001 20:23 schreef Femme het volgende:
Zonder cat werkt 't niet.

hmm vaag. http://www.php.net/manual/en/ref.pdf.php

als je naar die example kijkt paasen ze ook direct een filepointer door.

nahjah als het maar gefixed is

oeps mijn fout, het was fpasshtru().

Op maandag 15 januari 2001 20:17 schreef xoror het volgende:

[..]
die cat is helemaal niet nodig die je gebruikt. passthru paast al direct file door.
die Cat zorgde voor het lek.

Je bedoelt de functie readfile, die leest een volledige file en dumpt die naar stdout. Die was wellicht een stuk veiliger geweest en het scheelt een hele hoop forks.

Maar dan nog is het nuttig om goed de input te checken, want je blijft files lezen, dus met het potentiele gevaar dat alle nobody-readable files te lezen zijn

Op maandag 15 januari 2001 20:31 schreef Luite het volgende:

[..]
Je bedoelt de functie readfile, die leest een volledige file en dumpt die naar stdout. Die was wellicht een stuk veiliger geweest en het scheelt een hele hoop forks.

Maar dan nog is het nuttig om goed de input te checken, want je blijft files lezen, dus met het potentiele gevaar dat alle nobody-readable files te lezen zijn

Tsja, je moet zo min mogelijk "shell-commando's" gebruiken natuurlijk.
Zoveel sneller zullen ze niet zijn (door de forking en evt. prio van nobody)

Maar anderzijds zou het weinig moeten uitmaken dat je de php-source kan lezen...
Als het goed geschreven is, dan zou je nog steeds niks aan de usernames+passwords voor de DB mogen hebben...
Totdat je natuurlijk shell-commando's kan draaien, dan wordt het gevaarlijk...
Of anderszins files kan uploaden en uitvoeren.
edit:
Enneuhm, misschien is het ook wel mogelijk sessions te gebruiken?? Dan kun je die gebruiken ipv de hidden-inputs voor userid's etc. Daar kan de gemiddelde gebruiker niet aankomen en als je dan even oplet dat je altijd de waarde uit de session gebruikt, dan kun het zelfs zo maken, dat als iemand de prefs aanroept, dat ie dan altijd zijn eigen prefs krijgt, zelfs als ie het met iets als prefs.php?uid='13242' aan zou roepen.
Het geeft wel wat extra overhead, maar een database verbinding heb je toch al voor elke pagina open...
En het geeft wel wat extra veiligheid, je zou het ook nog heel makkelijk naast de huidige cookies kunnen gebruiken lijkt me.
Alleen voor die momenten dat je daadwerkelijk op de site bent is er dan een session voor je op de server.

Dit bewijst wel weer dat alles wat op Inet. staat gehacked kan worden.

xoror en Luite, gefeliciteerd met deze hack. Femme (en de rest van t.net), ik had wel verwacht dat de beveiliging was doorgelicht sinds de shellz.nl hack. Zie ergens in dit forum "Is tweakers.net wel een veilige site?"

Ik las ook op t.net dat er sinds 2 januari plotseling passwords veranderd waren... Deed dat geen lichtje branden ?

Groeten en succes

Digital Overdrive

Op maandag 15 januari 2001 20:25 schreef Eating Elpie het volgende:
Hebben de hackers al een scheitaward nominatie?

ouwe

Maar xoror en Luite, gefeliciteerd, a hack well done.

het zelfs zo maken, dat als iemand de prefs aanroept, dat ie dan altijd zijn eigen prefs krijgt, zelfs als ie het met iets als prefs.php?uid='13242' aan zou roepen. Het geeft wel wat extra overhead, maar een database verbinding heb je toch al voor elke pagina open...

Bezoekers moeten elkaars profiles kunnen bekijken. In de profiles staat ook geen gevoelige informatie.

ik had wel verwacht dat de beveiliging was doorgelicht sinds de shellz.nl hack. Zie ergens in dit forum "Is tweakers.net wel een veilige site?"

De problemen bij Shellz.nl hadden niks te maken met het probleem dat nu door Xoror en Luite aan het licht gebracht is.

Ik las ook op t.net dat er sinds 2 januari plotseling passwords veranderd waren... Deed dat geen lichtje branden ?

Het script voor het editen van de profiles werd ook aangepast.

Ik ben geen Linux kenner dus ik weet niet wat voor een grapjes je allemal met passthru kunt uithalen. Ik dacht dat het gebruik van escapeshellcmd afdoende was.

Op maandag 15 januari 2001 21:32 schreef Femme het volgende:

Bezoekers moeten elkaars profiles kunnen bekijken. In de profiles staat ook geen gevoelige informatie.

Dat begreep ik wel, maar zodra de boel geedit wordt, bv edit_prefs.php?uid=12341 of prefs.php?mode=edit&uid=324352 of hoe je het precies doet, kun je mooi in de session kijken of de uid's kloppen. Aangezien je 'zelf' de info erin gestopt hebt, kun je het in ieder geval gebruiken als een extra check ook voor wellicht het makkelijk controleren of iemand admin/moderator/watdanook (of iig controleren of het gecontroleerd moet worden ) is. Het is zowiezo iets beter te vertrouwen als hidden-inputs of cookies...

Ik ben geen Linux kenner dus ik weet niet wat voor een grapjes je allemal met passthru kunt uithalen. Ik dacht dat het gebruik van escapeshellcmd afdoende was.

Leek mij inderdaad ook dat dat genoeg was , maar blijkbaar dus niet, als je kan voorkomen dat je shell-escaping moet gebruiken, zou ik dat zeker doen. Maakt het vast ook beter geschikt om over meerdere servers verspreid te worden (als je b.v. een config filetje inleest is dat best lastig om die steeds op beide servers bij te houden)
Opzich is passthru (neem ik maar aan) geen 'linux' commando, dus zou het ook onder windows moeten werken, kun je het dus zelfs gewoon testen (ik neem maar aan dat je geen cat-exe hebt in windows?)

edit:
Bah, daar ging iets mis

Uhm, ff wat anders (wel in relatie tot dit onderwerp), er zijn feitelijk nu twee draden over dit onderwerp:

http://tweakers.net/zooi.dsp?Action=Frontpage&ID=269

en

http://tweakers.net/reviews.dsp?Lastpage=true&t=979593283&Document=202

Zelfde onderwerp, andere reacties.

Is het te doen, zo ja, handig om deze samen te voegen?
Lijkt me voor de overzichtelijkheid wel lekker (en ik heb net in de verkeerde(?) draad een lap tekst in zitten kloppen, omdat ik vond dat ik me moest verdedigen.

Kzie het wel...

Dat is bij alle frontpage artikelen zo... Ik heb ook al naar Mark Timmer gemeeld of je die niet beter samen kan voegen, maar volgens hem hoort dat zo

Begrijp ik het nou goed als dit gewoon een variant is op de al bejaarde PDF exploit maar dan i.p.v. voro CGI-BIN voor Femme's PHP werkt? Hmmm beetje jammer... maar wel duidelijk iets wat makkelijk over het hoofd te zien is moet ik toegeven.

Mooie hack heren... deze aanpak zie ik graag.

Misschien een minpunt dat het opgevat werd als een dreigement dat de posting moest blijven staan voor de oplossing, though, well done.

Op dinsdag 16 januari 2001 21:02 schreef CyberJunk86. het volgende:
Begrijp ik het nou goed als dit gewoon een variant is op de al bejaarde PDF exploit maar dan i.p.v. voro CGI-BIN voor Femme's PHP werkt? Hmmm beetje jammer... maar wel duidelijk iets wat makkelijk over het hoofd te zien is moet ik toegeven.

Nee, je hebt duidelijk niet goed opgelet of niet goed nagedacht, of beiden. het betrof i.dsp, waarin gebruik werd gemaakt van de functie passthru() om de plaatjes uit te kotsen, maar met wat creatieve URL-manipulation kan je passthru, if used incorrectly, forcen om iets anders dan het plaatje uit te laten kotsen, met alle gevolgen van dien.