[phpbb] forum gehackt met sexplaatjes en vage info??

I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin

welk forum gebruik je?? misschien kun je beter bij de makers ervan langsgaan...

En ik zou in ieder geval even html-rechten van de gebruikers uitzetten

Op zoek naar een baan als Coldfusion webdeveloper? Mail me!

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

faabman schreef op maandag 15 november 2004 @ 21:54:
welk forum gebruik je?? misschien kun je beter bij de makers ervan langsgaan...

En ik zou in ieder geval even html-rechten van de gebruikers uitzetten

Hij gebruikt PHPBB zoals hij in de topic titel vermeld. Maar de HTML rechten blokeren is iets wat je onmiddelijk moet doen, dom dat ik dat vergat .

I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin

"Real software engineers work from 9 to 5, because that is the way the job is described in the formal spec. Working late would feel like using an undocumented external procedure."

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

BackSlash32 schreef op maandag 15 november 2004 @ 21:57:
er zijn ook nog wat SQL injection vulns geconstateerd in phpBB...
Welke versie heb je draaien?

SQL injectie past geen HTML aan, lijkt me dus heel sterk dat dat het probleem is.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

BackSlash32 schreef op maandag 15 november 2004 @ 21:59:
[...]

like duh...
je kan er wel vanalles mee uitvreten (banners, images, links... staat allemaal in de DB bij phpBB).

Banners zitten niet in phpBB en dus al helemaal niet in de database. Images en links zijn gewoon dingen die in je template zitten ingebakken, en die staan bij phpBB gewoon op het filesystem opgeslagen, en dus wederom niet in de database.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

BackSlash32 schreef op maandag 15 november 2004 @ 21:57:
er zijn ook nog wat SQL injection vulns geconstateerd in phpBB...
Welke versie heb je draaien?

Zoals je op dat screenshot kunt zien draait hij 2.0.10.
De grote vulnerability waar jij waarschijnlijk op doelt, zat in de versies 2.0.8 en ouder en is gefixt door een versie 2.0.8a. Dat ging over één klein puntje.
Overigens zijn er bij de upgrade naar 2.0.9 nog eens wat dingen gewijzigd om de kans op injection te verkleinen. Daarbij ging het overigens niet om reeds ge-exploite gaten.

Ik denk dat dat dus niet zo snel aan de orde is hier... tenzij het gaat om een vulnerability die nog niet bekend is. Er wordt momenteel wel beweerd dat er SQL-injection mogelijk is, maar dat wordt door phpBB ontkend.

When I write my code, only God and I know what it means. One week later, only God knows.
Hell yes it's a Cuban Cigar, but I'm not supporting their economy, I'm burning their fields.

Programming & Webscripting gaat over programmeerproblemen van eigen software Daar is in dit geval geen sprake van; je hebt het pakket niet zelf gemaakt. We geven hier geen support op producten van anderen.

Bij bugs en vragen kan je terecht op het supportforum van PHPBB

Digitaal onderwijsmateriaal, leermateriaal voor hbo