1. Es freut uns dass du in unser Minecraft Forum gefunden hast. Hier kannst du mit über 130.000 Minecraft Fans über Minecraft diskutieren, Fragen stellen und anderen helfen. In diesem Minecraft Forum kannst du auch nach Teammitgliedern, Administratoren, Moderatoren , Supporter oder Sponsoren suchen. Gerne kannst du im Offtopic Bereich unseres Minecraft Forums auch über nicht Minecraft spezifische Themen reden. Wir hoffen dir gefällt es in unserem Minecraft Forum!

Web Problem Sicherheitslücke in der Forensoftware WBB

Dieses Thema im Forum "Offtopic" wurde erstellt von jensIO, 15. Mai 2016.

  1. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    619
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Hallo,

    wie einige es vielleicht mitbekommen haben hatte ich am Freitag bei einem großen Server eine Sicherheitslücke gefunden, welche mich in die Lage gebracht hatte, an E-Mail-, Datenbank- und TeamSpeak ServerQuery Anmeldedaten zu kommen und diese abzugreifen.(Inzwischen gefixt.) Der Angriffspunkt war so einfach wie clever. Logdateien lesen und Fehler provozieren/vorhandene interpretieren.(Soviel dazu, ich will nicht, das jemand dies ausnutzt und dann nicht dem Foreninhaber Bescheid sagt.)

    Wie ihr evt. wisst basiert WBB auf dem WCF(Woltlab Community Framework/PHP Api), was in seinem Verzeichnis standardmäßig(meist/hier wcf/) während der Installationsroutine folgende Dateienstruktur anlegt:
    Code (Text):
    1. wcf/
    2. ├acp
    3. ├attachments
    4. ├cache
    5. ├font
    6. ├icon
    7. ├images
    8. ├js
    9. ├language
    10. ├lib
    11. ├log
    12. ├style
    13. ├templates
    14. ├tmp
    15. ├cli.php
    16. ├config.inc.php
    17. ├global.php
    18. └options.inc.php
    Hier ist wichtig, dass ihr in jedem Fall/zumindest im Verzeichnis "log/" eine ".htaccess"-Datei erstellt(falls da nicht schon eine existiert), diese muss folgenden Inhalt haben:
    Code (Text):
    1. deny from all
    Außerdem, folgender Tipp: Ihr solltet im wcf/ Verzeichnis niemals eine Test-Config(das war auch beim Server der Fall) rumliegen haben, jede Datei, die nicht vom WCF erstellt wurde, kann, muss aber nicht geschützt sein!
    Wem das zu viel tralala ist, der erstellt auch im wcf/ Verzeichnis eine ".htaccess"-Datei mit dem Inhalt:
    Code (Text):
    1. deny from all
    Dann sind evt. Test-Configs auch geschützt, aber sicher ist was anderes! Erst garnicht hochladen!

    Falls ihr Server findet, die diese Lücke haben, verlinkt diese bitte auf diesen Beitrag.

    Gruß,
    Jens
     
    #1
    • Gefällt mir Gefällt mir x 6
  2. Werbung
    Online

    Werbung

  3. DerVodka
    Offline

    DerVodka

    Registriert seit:
    25. März 2016
    Beiträge:
    9
    Ort:
    Schweiz
    Minecraft:
    DerVodka
    Es kommt drauf an welche WBB Version man hat ich habe die Neuste und bei mir z.B ist der Log Ordner wo anders
     
    #2
  4. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    619
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Nein.
    https://github.com/WoltLab/WCF/tree/master/wcfsetup/install/files

    Hier ist immernoch der log Ordner im Verzeichnis wcf, hast du das wcf-Verzeichnis umbenannt? Den Namen davon kann man(während der Installationsroutine) ändern.
     
    #3
    • Gefällt mir Gefällt mir x 1
  5. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    701
    Ort:
    #4
    • Gefällt mir Gefällt mir x 1
  6. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    619
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Klar, aber lieber doppelt und dreifach darauf hinweisen. Aber anscheinend gibt es da ein Problem, bei manchen Foren, wo ich auch mal nachgeschaut habe, gab es solch eine Datei nicht.
     
    #5
    • Gefällt mir Gefällt mir x 1