[phpbb] forum gehackt met sexplaatjes en vage info??

Pagina: 1
Acties:
  • 273 views sinds 30-01-2008

Acties:
  • 0 Henk 'm!

  • Sebje
  • Registratie: Januari 2001
  • Laatst online: 18:28

Sebje

Makelaartje

Topicstarter
Ik ben net gestart met een forum voor het project op school. Maar nu is volgens mij een of andere grapjas bezig het forum te verzieken. Soms als ik de pagina open dan krijg ik ineens onderaan in beeld informatie uit een heel ander forum te zien (soms een inlog scherm in het frans) of zelfs sexplaatjes. Niet zo erg bevorderlijk als je weet dat de leraren ook van dit forum gebruik moeten maken. Is dit een hack (guests kunnen gewoon zonder te reggen berichten posten en bekijken) of is dit een bekende bug?

Om even een voorbeeldje te geven:

Afbeeldingslocatie: http://members.home.nl/svandenhurck/naamloos.JPG

Even voor de duidelijkheid. Het inlogscherm bovenin is dus van mijn forum. Daaronder zou de pagina moeten ophouden normaal.

Er wordt niets gepost door die persoon. Het zijn plaatjes en teksten op de achtergrond dus (in het grijze gedeelte) HTML staat uit.

[ Voor 31% gewijzigd door Sebje op 15-11-2004 21:58 ]


Acties:
  • 0 Henk 'm!

  • G F0rce 1
  • Registratie: Juli 2003
  • Laatst online: 04-03-2015
Het lijkt me geen bekende bug nee. Ik zou alle bestanden (dus niet de databse) is opnieuw naar je webserver kopieëren zodat die in ieder geval origineel zijn. Vervolgens lijkt het me slim om registerern in te schakelen.

I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin


Acties:
  • 0 Henk 'm!

  • faabman
  • Registratie: Januari 2001
  • Laatst online: 08-08-2024
welk forum gebruik je?? misschien kun je beter bij de makers ervan langsgaan...

En ik zou in ieder geval even html-rechten van de gebruikers uitzetten :)

Op zoek naar een baan als Coldfusion webdeveloper? Mail me!


Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 01-05 10:36

NMe

Quia Ego Sic Dico.

Laat me raden: HTML is toegestaan?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • G F0rce 1
  • Registratie: Juli 2003
  • Laatst online: 04-03-2015
faabman schreef op maandag 15 november 2004 @ 21:54:
welk forum gebruik je?? misschien kun je beter bij de makers ervan langsgaan...

En ik zou in ieder geval even html-rechten van de gebruikers uitzetten :)
Hij gebruikt PHPBB zoals hij in de topic titel vermeld. Maar de HTML rechten blokeren is iets wat je onmiddelijk moet doen, dom dat ik dat vergat |:( .

I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin


Acties:
  • 0 Henk 'm!

  • Reveller
  • Registratie: Augustus 2002
  • Laatst online: 05-12-2022

Reveller

Hopla!

Volgens mij wordt er hier geen support geleverd op andersmans software, maar het is niet aan mij daarover te oordelen. Je probleem is niet erg duidelijk omschreven, maar misschien is het mogelijk dat iemand in een draadje een javascriptje heeft gepost wat een iframe of iets dergelijks oproept en onderaan de pagina (of als layer) neerplet? Ik ken dat phpBB niet zo, maar ik zou eens controleren of users javascript of ueberhaupt html tags mogen posten...

"Real software engineers work from 9 to 5, because that is the way the job is described in the formal spec. Working late would feel like using an undocumented external procedure."


Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

er zijn ook nog wat SQL injection vulns geconstateerd in phpBB...
Welke versie heb je draaien?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 01-05 10:36

NMe

Quia Ego Sic Dico.

BackSlash32 schreef op maandag 15 november 2004 @ 21:57:
er zijn ook nog wat SQL injection vulns geconstateerd in phpBB...
Welke versie heb je draaien?
SQL injectie past geen HTML aan, lijkt me dus heel sterk dat dat het probleem is. :)

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

NMe84 schreef op maandag 15 november 2004 @ 21:57:
[...]

SQL injectie past geen HTML aan, lijkt me dus heel sterk dat dat het probleem is. :)
like duh...
je kan er wel vanalles mee uitvreten (banners, images, links... staat allemaal in de DB bij phpBB).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 01-05 10:36

NMe

Quia Ego Sic Dico.

BackSlash32 schreef op maandag 15 november 2004 @ 21:59:
[...]

like duh...
je kan er wel vanalles mee uitvreten (banners, images, links... staat allemaal in de DB bij phpBB).
Banners zitten niet in phpBB en dus al helemaal niet in de database. Images en links zijn gewoon dingen die in je template zitten ingebakken, en die staan bij phpBB gewoon op het filesystem opgeslagen, en dus wederom niet in de database. :)

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • Superdeboer
  • Registratie: December 2002
  • Niet online

Superdeboer

Sa-weee-tah

BackSlash32 schreef op maandag 15 november 2004 @ 21:57:
er zijn ook nog wat SQL injection vulns geconstateerd in phpBB...
Welke versie heb je draaien?
Zoals je op dat screenshot kunt zien draait hij 2.0.10.
De grote vulnerability waar jij waarschijnlijk op doelt, zat in de versies 2.0.8 en ouder en is gefixt door een versie 2.0.8a. Dat ging over één klein puntje. :P
Overigens zijn er bij de upgrade naar 2.0.9 nog eens wat dingen gewijzigd om de kans op injection te verkleinen. Daarbij ging het overigens niet om reeds ge-exploite gaten.

Ik denk dat dat dus niet zo snel aan de orde is hier... tenzij het gaat om een vulnerability die nog niet bekend is. Er wordt momenteel wel beweerd dat er SQL-injection mogelijk is, maar dat wordt door phpBB ontkend.

When I write my code, only God and I know what it means. One week later, only God knows.
Hell yes it's a Cuban Cigar, but I'm not supporting their economy, I'm burning their fields.


Acties:
  • 0 Henk 'm!

  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 13:09

gorgi_19

Kruimeltjes zijn weer op :9

Programming & Webscripting gaat over programmeerproblemen van eigen software :) Daar is in dit geval geen sprake van; je hebt het pakket niet zelf gemaakt. We geven hier geen support op producten van anderen.

Bij bugs en vragen kan je terecht op het supportforum van PHPBB :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

Pagina: 1

Dit topic is gesloten.