• Es freut uns dass du in unser Minecraft Forum gefunden hast. Hier kannst du mit über 130.000 Minecraft Fans über Minecraft diskutieren, Fragen stellen und anderen helfen. In diesem Minecraft Forum kannst du auch nach Teammitgliedern, Administratoren, Moderatoren , Supporter oder Sponsoren suchen. Gerne kannst du im Offtopic Bereich unseres Minecraft Forums auch über nicht Minecraft spezifische Themen reden. Wir hoffen dir gefällt es in unserem Minecraft Forum!

ProfessionalBans Reloaded • Webinterface [Gelöscht]

Status
Für weitere Antworten geschlossen.

Tutorialwork

Minecrafter
Registriert
19 November 2018
Beiträge
3
Alter
21
Diamanten
103
Minecraft
ManuGun
Tutorialwork hat eine neue Ressource hochgeladen:

ProfessionalBans Reloaded • Webinterface - Dies ist ein Ban Plugin für dein BungeeCord Netzwerk mit BanIDs sowie einstellbaren Bangründen.

ProfessionalBans Reloaded
Du benötigst:
  • eine MySQL Datenbank
  • ein BungeeCord Netzwerk (1.8x - 1.13x)
  • ein Webspace
i8gfIZb.jpg


/ban <Spieler> <BanID> - bannt/mutet einen Spieler (professionalbans.ban)
/unban <Spieler> - entbannt/entmutet einen Spieler (professionalbans.unban)
/kick <Spieler> - kickt einen Spieler (professionalbans.kick)
/webaccount <erstellen> <Spieler> <Rang> - erstellt einen Account im...

Weitere Infos über diese Ressource...
 

Taminoful

Schafhirte
Registriert
3 August 2012
Beiträge
137
Diamanten
190
Minecraft
Taminoful
Und dieses SQL Injection, XSS und CSRF anfällige "Script" möchtest du wirklich so fahrlässig an die Öffentlichkeit geben?
Ich rate dringend davon ab dieses "Script" irgendwo ernsthaft zu benutzen.

Ich habe nichts gegen Anfängerprojekte, ich unterstütze sie sogar, aber bitte beschäftige dich mit den ganzen Themen erstmal bevor du etwas veröffentlichst, was Leute eventuell benutzen könnten.
 
Zuletzt bearbeitet:

Tutorialwork

Minecrafter
Registriert
19 November 2018
Beiträge
3
Alter
21
Diamanten
103
Minecraft
ManuGun
Du könntest mal anhand Codebeispiele meines Projekts zeigen wo diese Sicherheitslücken vorhanden sein sollen.
 
D

deleted196100

Guest
Du könntest mal anhand Codebeispiele meines Projekts zeigen wo diese Sicherheitslücken vorhanden sein sollen.
webinterface/datamanager.php beispielsweise, hier wird die veraltete mysqli Datenbankschnittstelle anstelle von PDO verwendet, die Parameter werden einfach ohne escaping in den Querystring concatiert (hier wären Prepared Statements angebracht).

In den restliche Scripten fehlt es an Validierung, Daten aus der Datenbank werden einfach ohne Escaping ausgegeben wodurch die Anfälligkeit für XSS Attacken entsteht.
 
Zuletzt bearbeitet von einem Moderator:

Taminoful

Schafhirte
Registriert
3 August 2012
Beiträge
137
Diamanten
190
Minecraft
Taminoful
Du könntest mal anhand Codebeispiele meines Projekts zeigen wo diese Sicherheitslücken vorhanden sein sollen.

Wo fang ich da an?
  • XSS Lücken überall wo Daten durch PHP ausgespielt werden.
  • Momentan wird ein XSS Angriff lediglich durch das Charakterlimit für Minecraft Namen aufgehalten.
  • Gravierende Fehler bei Berechtigungen von einzelnen Benutzergruppen. (Niedere Benutzergruppen können höherrangige Benutzer löschen und verändern)
  • Das einzige was eine SQL Injection verhindert ist mysqli_real_escape_string welches keinen Schutz vor SQL Injections darstellt sondern lediglich den Inhalt escaped. (Kein Nutzen von Prepared Statements durch MySQLi und PDO)
  • CSRF Anfällig ist jede Aktion die im Webinterface ausgeführt werden kann, vom Anlegen zum Bearbeiten bis hin zum Löschen von jeglichen Sachen. (Benutzer, Bans, Mutes, etc)
  • Passwörter können NULL sein
  • Jeder kann von jedem das Passwort verändern, sobald dieses den Zeichenkettenwert null aufweist. Dafür bedarf es nur den Nutzernamen und einen GET Request
Keine direkten Sicherheitslücken, aber erwähnenswert:
  • Im Java Plugin sind Ansätze zu sehen, dass du versucht hast ein Initialpasswort festzulegen, aber du vermutlich nicht wusstest, wie du daraus einen BCrypt Hash erzeugst. Vermutlich hast du das entfernt, als password_verify gemeckert hat. (String Variable "Code" welche nie verwendet wird in WebAccount.java und die RandomString.java) (Die Nutzung von den empfohlenen Algorithmen für Passwortbehandlung ist positiv anzumerken)
  • Du solltest dir die Grundlagen von PHP, insbesondere das Einbinden von anderen Dateien via include oder require, unbedingt noch einmal ansehen.
  • Funktionales PHP ist mit einer der Hauptgründe, wieso diese Sprache stark verhasst ist. Schau dir einmal die objektorientierte Variante deiner benutzten Funktionen an und Objektorientierung in PHP im Allgemeinen.
Zum Abschluss noch ein Zitat von Rasmus Lerdorf von seinem "PHP in 2018" Vortrag auf der .concat() 2018:
Rasmus Lerdorf schrieb:
If you write really really crappy code, PHP 7.2 and PHP 7.3 even moreso, is going to run it really really fast. [...] it's been sort of PHP's thing forever. PHP runs crappy code, really really well. [...] and that's why PHP has become so popular [...] very few other languages can say that. [...] it really helps people get started with it [...] it's just that they don't have this huge pressure to write better code
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Oben