SMS Modul [ WARNUNG]

Andi · « **Antwort #20 am:** 15 Juli 2004, 20:05:14 »

Sorry, entweder haltet ihr uns für doof, oder ihr kennt die Auswirkung bestimmter codezeilen, die auf nukeboards.de übrigens zitiert sind, nicht. Das Zweite kann ich mir allerdings bei der Professionalität dieses Scripts nicht vorstellen.
Zumindest habt ihr jetzt aber positiv reagiert und die betroffene smsserver.php wieder aus dem aktuellen Downloadpaket genommen. Gestern war sie noch drin....
Redet hier nicht um den heissen Brei. Es ist anzunehmen, dass ihr von eurem Server aus, unbemerkt, jedes x-beliebige sql-Statement auf die Datenbank des Clienten absenden könnt. Habe es noch nicht vollständig durchgecheckt, aber meines erachtens, sind evtl. auch beliebige Dateimanipulationen über die sms-Klasse möglich.

Der thread wird hier geschlossen, weitere Diskussion über das thema bitte im Supportforum der scriptautoren weiter führen.

seleck · « **Antwort #21 am:** 15 Juli 2004, 20:05:44 »

Also die Machenschaften von xyox und apscom sind ja auch in anderen Forums und Portal bekannt. Es ist eine Unverschämtheit, wie die beiden versuchen die Katze im Sack zu verkaufen.

Am besten ist die beide Herrn einfach zu ignorien, Jeder weiß mittlerweile, wie diese Module NACH HAUSE TELEFONIEREN wollen.

hannover-jung · « **Antwort #22 am:** 26 November 2004, 13:17:45 »

Möchte hier mal einhacken... Es scheint ja nunmehr so zu sein, das es sich ein dabei um ein größeres Problem handelt.... Habe hier diesen Link bei smsnuke.de gefunden http://www.smsnuke.de/modules.php?op=modload&name=eBoard&file=viewthread&tid=134 auch mein provider hat es bereits gesperrt.... aus sicherheitsgründen.... man solle davon nur die finger lassen, wurde mir gesagt.... zudem ist der support bei smsnuke ja auch echt unzureichend, man bekommt keine antworten auf anfragen...

xyox2 · « **Antwort #23 am:** 26 November 2004, 13:52:56 »

Welche Frage ?

jubilee · « **Antwort #24 am:** 26 November 2004, 14:01:42 »

Zitat

Welche Frage ?

Die Frage nach "allow_url_fopen" diese Du gerade in Deinem Forum beantwortet hast ....
MfG
jubilee

xyox2 · « **Antwort #25 am:** 29 November 2004, 22:19:15 »

achja .. hier noch ein "grosses" Danke .. eure Kunden haben sich sicherlich sehr gefreut über die Überraschungen der letzten Tage .. aber da wir ja nicht zur "grossen Gruppe Kindergarten" gehöhren .. haben wir uns erlaubt das Problem mal eben zu lösen . ..

ich denke es wird mal langsam Zeit miteinander zu reden ...

LG aus Bern

jubilee · « **Antwort #26 am:** 29 November 2004, 23:20:38 »

Zitat

achja .. hier noch ein "grosses" Danke .. eure Kunden haben sich sicherlich sehr gefreut über die Überraschungen der letzten Tage .. aber da wir ja nicht zur "grossen Gruppe Kindergarten" gehöhren .. haben wir uns erlaubt das Problem mal eben zu lösen . ..

Sorry, Problem?
Was meinst du jetzt ?
allow_url_fopen ??
Hast Du etwa 3 Tage gebraucht, um festzustellen das man das im Script nach belieben ein oder ausschalten kann ?
Ich dachte Du programmierst professionell ?
Oder sollte es ein anderes Problem geben ?

xyox2 · « **Antwort #27 am:** 29 November 2004, 23:24:41 »

naja, bei weniger als 10% vkpMx Anteil ist es nicht ganz so dringend ... ihr macht es ja auch nicht anders .. "kommt demnächst .. 6 Monate später ...

jubilee · « **Antwort #28 am:** 29 November 2004, 23:29:46 »

Zitat

bei weniger als 10% vkpMx Anteil ist es nicht ganz so dringend

Was hat den das allow_url_fopen jetzt mit dem vkpMX zu tun.
Versteh ich nicht wirklich.
User System hat nix mit den Servereinstellungen zu tun.
Soweit solltest Du dich aber schon auskennen.

xyox2 · « **Antwort #29 am:** 29 November 2004, 23:31:05 »

und wer bitte betreibt so einige Server auf dennen vkpMx läuft ? ....

Zitat

18.11.2004
Aus aktuellem Anlaß müssen wir eine globale PHP-Variable auf allen unserer Server ändern.

Die Option allow_url_fopen wird somit auf OFF gesetzt.

jubilee · « **Antwort #30 am:** 29 November 2004, 23:36:57 »

Zitat

und wer bitte betreibt so eionige Server auf dennen vkpMx läuft ?

Joa,
Das macht u.a. der DarkBoy.
Trotzdem haben die Servereinstellungen nix mit dem vkpMX zu tun.
Und wenn der Dark Boy meint, das er die Sicherheitseinstellungen der Server ändern möchte, das ist das sein Ding.
Und wenn Du in Deinen Scripten keine Vorsorge triffst um das abzuprüfen, dann ist das Dein Ding.
Es gibt ja in PHP durchaus Funktionen mit denen sich die Einstellungen n der php.ini abfragen lassen.
Oder meinst Du das diese Funktion nur bei den Servern von Dark gesperrt ist ?
dann laufen Deine Scripte aber wirklich nioch nicht auf vielen Servern, wenn Dir noch keine gesperrte
allow_url_fopen begegnet ist.

xyox2 · « **Antwort #31 am:** 29 November 2004, 23:38:54 »

ich weiss nicht was ihm dazu bewegt hat ( zum es ja eigentlich sinloss war )

xyox2 · « **Antwort #32 am:** 29 November 2004, 23:42:17 »

was soll ein leuten sagen, wenn sie mich fragen ob sie ihren provider wechseln sollen ... ?

Zitat

solangsam glaub ich das dein Provider der groessere Hacker ist.
Es ist ja fast schädlicher einen Admin zu haben , der ständig an allem runbastelt ... danach geht meistens auch bloss nix mehr .... das schaffen die meisten Hacker nicht ...

jubilee · « **Antwort #33 am:** 29 November 2004, 23:44:43 »

Zitat

ich weiss nicht was ihm dazu bewegt hat ( zum es ja eigentlich sinloss war )

Nein, ist ist durchaus nicht Sinnlos, weil nicht mehr GLOBAL freigegeben.
Jetzt kannst Du nur URL mit fopen öffnen, wenn der Prgrammierer expliziet die Funktion
freigegeben hat. Das macht XSS-Exploits wesentlich schwierigen, weil nicht mehr über eine globale
ungesetzte Variable (in Verbindung mit require,include ect...) ein Script über eine andere URL eingeschleust werden kann.
Schon mal aus diesem Blickwinkel betrachtet ?

xyox2 · « **Antwort #34 am:** 29 November 2004, 23:48:28 »

sorry, ich habe nur die veraergerten Kunden gesehen, die nicht mal darüber informiert wurden sind .. erst nach anfrage .. ich finde dass nun wirkich nicht fair .. die suchen stundenlang nach einem Fehler und dann "spielt" der admin mal wieder bloss "Master of Universe"

jubilee · « **Antwort #35 am:** 29 November 2004, 23:57:30 »

Hmmm...

Zitat

die suchen stundenlang nach einem Fehler und dann "spielt" der admin mal wieder bloss "Master of Universe"

Wenn du dem Admin jetzt spielen vorwirfst, dann muss ich Dir auch vorwerfen, das Du deine Hausaufgaben nicht gemacht hast.
D.H. DU hast das Script geschrieben und bist infolgedessen auch verantwortlich dafür, das die von DEINEM Script benötigten Funktionen auch zur Verfügung stehen.
Entweder prüfst Du das im Script ab und gibst bei nichtvorhandensein eine brauchbare Fehlermeldung aus (was ja hier auch wohl nicht der Fall war, sonst hätte man ja auch nicht stundenlang suchen brauchen ?)
Oder du schreibst in der Dokumentation, welche Funktinen gebraucht werden. dann hätte der User ja nach einem Blick in sein Server-Interface sofort feststellen können, das eine benötigte Funktion abgeschaltet wurde.
Was wäre gewesen, wenn der User auf einen Server umgezogen wäre, wo diese Funktion gesperrt ist. Wäre doch wohl auf das selbe rausgekommen.
BTW. Versucht der Admin wohl nur die Server am laufen zu halten und Hacker auszusperren. das liegt u.U. auch im Sinne des Users.

xyox2 · « **Antwort #36 am:** 29 November 2004, 23:59:35 »

ganz einfach: dann melden sie sich .. wie in diesen netten Beispiel und es wird behoben ... und das in 3 Tagen .. nicht in 6 Monaten ...

PS: ich wollte den "alten" Krieg ( seiweit es geigentlch überhat einen gab ) nicht von neuem beginnen ..
ich wollte nur ddamit mal sagen , das Änderungen am Server , die alle betreffen einfach mal kommuîziert werden könnten ..

jubilee · « **Antwort #37 am:** 30 November 2004, 00:01:46 »

Zitat

ganz einfach

Warum beschwerst Du dich dann ?

xyox2 · « **Antwort #38 am:** 30 November 2004, 00:03:25 »

ich bescher mich doch gar nicht, ich fand es nur unfair

jubilee · « **Antwort #39 am:** 30 November 2004, 00:04:29 »

Zitat

ich fand es nur unfair

Das Du einen Mangel in dem Script beseitigen musst, welches Du selber geschrieben hast ?