Forum
|
Öffentliche Foren |
| FORUM: Support / Features / Feedback THEMA: Versteckter Code in C-SMS!? | |||||
| AUTOR | BEITRAG | ||||
|
Crush (sexy shoeless god of war)
RANG Deckschrubber |
#1 - 08.05 20:13 Der String hinter "open=" löst auf zu einem Javascript welches den Inhalt deines Cookies an irgendeine Website übermittelt. Dadurch kann der Kerl deine Clanintern Session übernehmen und mit deinem Account weitersurfen.Keinesfalls anklicken und wenn doch sofort Passwort ändern. |
||||
|
deluxe *acetalisiert*
RANG Master of Clanintern |
#2 - 08.05 20:20 Der String hinter "open=" ?Welcher Kerl, welche c-SMS, um was gehts? hö? Und vor allem wo is der Post #1? 
|
||||
|
Crush (sexy shoeless god of war)
RANG Deckschrubber |
#3 - 08.05 20:23 Hab eben das Eröffnungspost gelöscht, da es einen gefährlichen Link erhielt. Wollte grade den Grund in mein Posting reineditieren, aber du warst schneller.Offenbar schickt zur Zeit jemand Links herum der Art "http://www.clanintern.de/intern/index.php4?clan=0&bid=1&open=" per C-SMS rum und dann eine Reihe kodierter Zeichen. |
||||
|
Skeletor
RANG Ober0wn3r |
#4 - 08.05 20:32 reicht es das kennwort zu ändern, oder kann er mit einer weiteren session das pw erneut ändern? |
||||
|
Crush (sexy shoeless god of war)
RANG Deckschrubber |
#5 - 08.05 21:04 Unbedingt das Passwort auf allen(!) Accounts ändern, damit das Cookie für alle deine Accounts ungültig wird. |
||||
|
mcfly
RANG Deckschrubber |
#6 - 09.05 10:02 Hallo, ich möchte mich dazu auch kurz äußern.Gestern Abend habe ich an ein paar Leute einen präparierten Link geschickt, der den cookie ausließt und wegspeichert. Dies diente NICHT dazu, irgendwelchen Missbrauch zu betreiben (wobei das ohne probleme möglich gewesen wäre, da einige user extrem blauäugig sind). Ich wollte eigentlich ein paar cookies sammeln, um anschließend hier im support forum ein protokoll dazu abgeben zu können (mit datenbeweisen um die unsicherheit von clanintern zu beweisen). Leider kam mir Skeletor in die quere. Er hat die sache durchschaut und vor mir einen thread eröffnet. Doch das ist nicht schlimm. Mittlerweile habe ich das Script vom Netz genommen um einen Missbrauch dritter zu vermeiden. Ok, kommen wir zur Kritik: Wie kann es sein, dass ein administrator bzw. Programmierer einen solchen Fehler "übersieht"? Hier in clanintern gibt es leute, die geld für einen account bezahlen. Da sollte doch zumindest die sicherheit gewährleistet sein. Anscheiend ist es nicht so. Ich bin schon seit jahren hier in ci unterwegs und habe schon einige Bugs entdeckt, die nur wegen mir aufgedeckt wurden (unter anderen namen). Wie kann sowas sein? Leute überlegt euch gut, ob ihr für sowas bezahlen wollt. Immerhin gibt es alternativen: Holt euch webspace und packt ein clanscript drauf. Kommt ihr erstens günstiger weg und zweitens seid ihr nicht von dritten abhängig. Die öffentlichen Foren könnt ihr ja weiterhin unter kostenlosen accounts benutzen. Lange rede kurzer sinn: Da ist der wurm mit drin. Hoffe der admin lern daraus. - mcfly HINWEIS: ES WURDEN KEINE COOKIES MISSBRAUCHT UND KEINE ACCOUNTS ÜBERNOMMEN. DIE BETROFFENEN PERSONEN WERDEN DIES BESTÄTIGEN KÖNNEN. HIER EINE LISTE DER PERSONEN, DIE DEN LINK ERHALTEN HABEN (ALLES ZUFALLSPERSONEN DIE GERADE ONLINE WAREN): ‹• ⊂⌈α⊂κ¥ •› Ferdi DieWaldfèé zentrY Skeletor stats Meister Proper MOSDEF raupe Effray white *Adios Onkelz* Ich bitte die betroffenen personen sich hier zu melden, um dies zu bestätigen. Vielen dank |
||||
|
MOSDEF
RANG Sucker |
#7 - 09.05 10:45 ja ich hab ne csms erhalten und auch draufgeklicktich weiß auch nicht was ich davon halten soll mein pw hab ich schon geändert, finde es krass dass es solche BUGS hier im CI gibt, wo man doch Geld für bezahlt 
|
||||
|
‹• ⊂⌈α⊂κ¥ •›
RANG Deckschrubber |
#8 - 09.05 11:00 ich habe auch solch einen link bekommen und draufgedrückt. habs erst heut morgen erfahren, dass das ein trick war. darauf hin habe ich auch mein passwort geändert. es scheint aber so, als hätte niemand meinen account benutzt. nochmal glück gehabt. |
||||
|
horst
RANG Prophet of Clanintern |
#9 - 09.05 11:10 Hi,Wenn ich mir anschaue wieviele andere prominente Beispiele Opfer einer XSS-Lücke geworden sind, so ist CI hier sicher nicht der Einzelfall: Wordpress, Cisco, mySpace, studiVZ, verschiedene Bank-Websites, usw usf. Ich will das keinesfalls runterspielen, aber wichtig ist doch, dass Alex (="der admin") informiert wurde und meines Wissens auch schon Maßnahmen eingeleitet hat, so dass man diese - jetzt bekannte - Lücke nicht mehr ausnutzen kann. Genau wie bei e-Mails, sollte man Links aus fremden c-SMS nicht ohne Weiteres vertrauen und drauf klicken. Ich hätte mich gefreut, wenn du dich an den Support gewendet hättest oder es zusammen mit dem "admin" getestet hättest. Dann hätte meinen seh schnell einen Fix bereitstellen können. |
||||
|
.deluxe _advanced_ Pixelscientist
RANG Lord of Luck |
#10 - 09.05 13:09 Sieht für mich nach Lüge aus.Da du findig warst den Bug zu finden wäre es für dich ein Leichtes gewesen es an einem eigenen Account auszuprobieren und den Bug dem Team mitzuteilen. Du hast jedoch vergezogen dich der Userdaten von unbedarften Nutzern zu bemächtigen.
Da der Bug, sobald du ihn mitgeteilt hättest wohl überprüft worden wäre (sei es durch probieren oder durch einfache Codekontrolle), ist "Datenbeweis"-Sammlung völlig unnötig und eine vorgeschobene Ausrede.
Das ist nur allzu gutherzig. Kaum wird die Aktion aufgedeckt versuchts du dein Handeln herunterzuspielen und greifst dazu das Team an, als wäre es deine ehrenvolle Pflicht gewesen dir die Accountcookies der Benutzer zu erschleichen. Gehandelt hast du natürlich nur zum Wohle der Allgemeinheit. Der eigentliche Fehler liegt ja beim "admin", der die Frechheit besitzt einen kostenpflichtigen Internetservice zu betreiben der nicht frei von Sicherheitslücken ist.  Meine Fresse sowas Dreistes hab ich lange nicht gesehn. |
||||
|
Dr. Udo Brömme
RANG Ober0wn3r |
#11 - 09.05 13:13 sich einfach mal so strafbar machen, und dann mit solchen sprüchen hier ankommen? ganz toll, wirklich. |
||||
|
mcfly
RANG Deckschrubber |
#12 - 09.05 13:24 ich habe nicht vor mich hier für irgendetwas zu rechtfertigen.fakt ist, es wurden keine daten missbraucht obwohl sich die möglichkeit mehrfach geboten hat. zweiter fakt ist, dass schonmal eine sicherheitslücke von mir aufgedeckt wurde und darüber kein wort hier in clanintern gefallen ist. dritter fakt ist, dass ich nirgendwo eingedrungen bin. hiermit ist die diskussion für mich beendet. |
||||
|
horst
RANG Prophet of Clanintern |
#13 - 09.05 13:31 Wenn du Anerkennung dafür haben wolltest, dass du die Lücke gefunden hast, dann hättest du das doch auch sagen können. Dafür kann man bestimmt eine MOTD schmeißen
|
||||
|
Psycho
RANG Prophet of Clanintern |
#14 - 09.05 15:15 ach laber laber.. scheiss script kiddy . geh sterben.. wenn sowas ist, dann schreibe an clanintern und mache sie auf sowas aufmerksam. von wegen wolltest nachher aufmerksam machen.. hacken und daten sammeln wollteste..Deine MUTTER sag ich da mal.. sowas kann ich auf den tot nicht ab ! such dir nen job dann haste auch mal was anderes im kopp als sone scheisse zu machen! |
||||
|
white *Adios Onkelz*
RANG Godlike |
#15 - 09.05 15:34 also ich muss sagen, als ich die c-sms bekommen hab war ich skeptisch...hab mich einige minuten net drum gekümmert, dann aber nachdem skeli gepostet hat, dass ers auch bekommen hat meine pws geändert... sollten etwa 15 mins gewesen sein, meinen acc hat aber wohl niemand anderes benutzt.. |
||||
|
═╬ђøŁŁøω╬═
RANG Deckschrubber |
#16 - 09.05 17:33 ich würde vermuten du wolltest daten stehlen, ne zeit gras über die sache wachsen lassen und dann die accounts hacken. scheiße nur, dass jmd den trick durchschaut hat.von wegen daten sammeln zum beweisen...lächerlich |
||||
|
Psycho
RANG Prophet of Clanintern |
#17 - 09.05 18:35 eben. das is genauso wie diese cheater ausreden1. mein hamster hat mir die cheats in den ordner kopiert 2. ich wollte nur mal cheats AUSTESTEN ist alles das selbe pack. ich könnt mich so aufregen |
||||
|
Allanon // alex
CI-Chef RANG Prophet of Clanintern |
#18 - 09.05 19:05 soo dann melde ich mich auch mal .. bevor diese hetzkampagne weitergeht..soweit mir ersichtlich wurden keine zugriffe dritter, die auf die identität von mcfly hinweisen würden auf die besagten accounts durchgeführt. ein einfacher abgleich mit der csms history bestätigt den kontakt und austausch des links mit diesen usern. ob sich noch daten im besitz von mcfly besitzen weiß nur er, nach seiner aussage wurden diese gelöscht. Dennoch weiße ich alle betroffenen darauf hin, sicherheitshalber ihre Passwörter zu ändern. Zur Sicherheitslücke selbst: die Lücke dieses Bugs wurde geschlossen.. allerdings gibt es derer wohl noch zahlreiche andere, die nach und nach geschlossen werden. Nach kommunikation mit mcfly durch mich, wird er auch dabei helfen weitere fehler zu finden, um clanintern sicherer zu machen... ich weise nochmals darauf hin, dass die gesammelten daten bislang nicht eingesetzt wurden. (diese erkenntnis sammle ich aus den vorhandenen logs der besagten user) zum vorgehen von mcfly: das suchen und finden von sicherheitslücken ist kein problem .. solange damit nichts anderes gemacht wird, als mir/dem support zu melden .. auf keinen fall sollten derlei informationen im forum landen, denn werden lücken erstmal bekannt, finden sich schnell einige scherzkekse, die die gesammelten daten liebend gerne auch ausnutzen ich bitte dies alle clanintern user zu berücksichtigen. so far Allanon |
||||
|
*S | K* El Commandante
RANG God of Clanintern |
#19 - 10.05 15:04 irgendwie fänd ich es wünschenswert, wenn ma der login in CI über nen https server abläuft.da ich mich selber damit nich auskenne, erstma die frage: ist das für euch realisierbar, oder kann ich mir das gleich abschminken? |
||||
|
Crush (sexy shoeless god of war)
RANG Deckschrubber |
#20 - 10.05 16:07 Https hätte in diesem Fall nichts gebracht. Der einzige Vorteil von https ist, dass es gegenüber man-in-the-middle Attacken schützt (also das bei irgendeinem Router zwischen dir und dem Server mitgehört wird). Nicht dagegen, dass dein Browser den Inhalt des Cookies der aktuellen Seite an eine Drittseite schickt, weil die aktuelle Seite ihm per Javascript sagt er soll es tun. |
||||
|
sHox`
RANG Skill Admiral |
#21 - 10.05 16:56 hm, hatte heute eine "weiterleitungsseite" ... ala "sie werden in 10 sekunden weitergeleitet, oder klicken sie hier"ist das neu? habe mal sicherheitshalber meine pws geändert. |
||||
|
TheCze- I, Zombiemaster
RANG Prophet of Clanintern |
#22 - 10.05 17:07 dass is n virus der gerade kursiert formatier lieber bevors dir die grafikkarte zerschiesstedit: frag am besten im S+H forum |
||||
|
horst
RANG Prophet of Clanintern |
#23 - 10.05 17:12 @sHox: Siehe [ hier ]@TheCze: *räusper* Zurück zum Thema bitte. |
||||
|
sHox`
RANG Skill Admiral |
#24 - 10.05 17:54 hm, werbung habe ich keine gesehen, die wurde geblockt ^^ deswegen habe ich mich gewundert. danke
|
||||
|
cibo
RANG Lord of Clanintern |
#25 - 14.05 19:43 https bringt gegenüber man-in-the-middle gar nichts wenn man die Zertifikate nicht vorher mal hat und immer überprüft. |
||||
|
dummpumm *E=pc*
RANG Skilloser vom Dienst |
#26 - 23.06 17:27 war ja klar das es gleich 2 admins aus meinem clan trifft... |
||||
|
Inqui=]rcou[= | Däääh!
RANG Deckschrubber |
#27 - 25.06 10:43 ich finde es unmöglich was sich manche rausnehmen mcfly so zu beschuldigen!ich kenn zwar keinen von euch abba finds sehr kindisch und lächerlich! |
||||