pragmaMx Support Forum pragmaMx Support Forum

SMS Modul [ WARNUNG]

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #20 am: 15 Juli 2004, 20:05:14 »
Sorry, entweder haltet ihr uns für doof, oder ihr kennt die Auswirkung bestimmter codezeilen, die auf nukeboards.de übrigens zitiert sind, nicht. Das Zweite kann ich mir allerdings bei der Professionalität dieses Scripts nicht vorstellen.
Zumindest habt ihr jetzt aber positiv reagiert und die betroffene smsserver.php wieder aus dem aktuellen Downloadpaket genommen. Gestern war sie noch drin....
Redet hier nicht um den heissen Brei. Es ist anzunehmen, dass ihr von eurem Server aus, unbemerkt, jedes x-beliebige sql-Statement auf die Datenbank des Clienten absenden könnt. Habe es noch nicht vollständig durchgecheckt, aber meines erachtens, sind evtl. auch beliebige Dateimanipulationen über die sms-Klasse möglich.

Der thread wird hier geschlossen, weitere Diskussion über das thema bitte im Supportforum der scriptautoren weiter führen.
schön´s Grüssle, Andi

Offline seleck

  • ****
  • 356
  • +0/-3
  • Geschlecht: Männlich
  • Don't confuse elegance with snobbery.
Re: SMS Modul [ WARNUNG]
« Antwort #21 am: 15 Juli 2004, 20:05:44 »
Also die Machenschaften von xyox und apscom sind ja auch in anderen Forums und Portal bekannt.  Es ist eine Unverschämtheit, wie die beiden versuchen die Katze im Sack zu verkaufen.

Am besten ist die beide Herrn einfach zu ignorien, Jeder weiß mittlerweile, wie diese Module NACH HAUSE TELEFONIEREN  wollen.
If I advance, follow me.
If I stop, push me.
If I fall, inspire me.

Offline hannover-jung

  • ***
  • 109
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #22 am: 26 November 2004, 13:17:45 »
Möchte hier mal einhacken... Es scheint ja nunmehr so zu sein, das es sich ein dabei um ein größeres Problem handelt.... Habe hier diesen Link bei smsnuke.de gefunden http://www.smsnuke.de/modules.php?op=modload&name=eBoard&file=viewthread&tid=134 auch mein provider hat es bereits gesperrt.... aus sicherheitsgründen.... man solle davon nur die finger lassen, wurde mir gesagt.... zudem ist der support bei smsnuke ja auch echt unzureichend, man bekommt keine antworten auf anfragen...

Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #23 am: 26 November 2004, 13:52:56 »
Welche Frage ?


jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #24 am: 26 November 2004, 14:01:42 »
Zitat
Welche Frage ?


Die Frage nach "allow_url_fopen" diese Du gerade in Deinem Forum beantwortet hast ....
MfG
jubilee

Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #25 am: 29 November 2004, 22:19:15 »
achja .. hier noch ein "grosses" Danke .. eure Kunden haben sich sicherlich sehr gefreut über die Überraschungen der letzten Tage ..   aber da wir ja nicht zur "grossen Gruppe Kindergarten" gehöhren .. haben wir uns erlaubt das Problem mal eben zu lösen . ..

ich denke es wird mal langsam Zeit miteinander zu reden  ...

LG aus Bern

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #26 am: 29 November 2004, 23:20:38 »
Zitat
achja .. hier noch ein "grosses" Danke .. eure Kunden haben sich sicherlich sehr gefreut über die Überraschungen der letzten Tage ..   aber da wir ja nicht zur "grossen Gruppe Kindergarten" gehöhren .. haben wir uns erlaubt das Problem mal eben zu lösen . ..
Sorry, Problem?
Was meinst du jetzt ?
allow_url_fopen ??
Hast Du etwa 3 Tage gebraucht, um festzustellen das man das im Script nach belieben ein oder ausschalten kann ?
Ich dachte Du programmierst professionell ?
Oder sollte es ein anderes Problem geben ?


Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #27 am: 29 November 2004, 23:24:41 »
naja, bei weniger als 10% vkpMx Anteil ist es nicht ganz so dringend ...   ihr macht es ja auch nicht anders .. "kommt demnächst .. 6 Monate später ...

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #28 am: 29 November 2004, 23:29:46 »
Zitat
bei weniger als 10% vkpMx Anteil ist es nicht ganz so dringend
Was hat den das allow_url_fopen jetzt mit dem vkpMX zu tun.
Versteh ich nicht wirklich.
User System hat nix mit den Servereinstellungen zu tun.
Soweit solltest Du dich aber schon auskennen.


Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #29 am: 29 November 2004, 23:31:05 »
und wer bitte betreibt so einige Server auf dennen vkpMx läuft ?  ....


Zitat
18.11.2004
Aus aktuellem Anlaß müssen wir eine globale PHP-Variable auf allen unserer Server ändern.

Die Option allow_url_fopen wird somit auf OFF gesetzt.
« Letzte Änderung: 29 November 2004, 23:35:49 von xyox2 »

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #30 am: 29 November 2004, 23:36:57 »
Zitat
und wer bitte betreibt so eionige Server auf dennen vkpMx läuft ?
Joa,
Das macht u.a. der DarkBoy.
Trotzdem haben die Servereinstellungen nix mit dem vkpMX zu tun.
Und wenn der Dark Boy meint, das er die Sicherheitseinstellungen der Server ändern möchte, das ist das sein Ding.
Und wenn Du in Deinen Scripten keine Vorsorge triffst um das abzuprüfen, dann ist das Dein Ding.
Es gibt ja in PHP durchaus Funktionen mit denen sich die Einstellungen n der php.ini abfragen lassen.
Oder meinst Du das diese Funktion nur bei den Servern von Dark gesperrt ist ?
dann laufen Deine Scripte aber wirklich nioch nicht auf vielen Servern, wenn Dir noch keine gesperrte
allow_url_fopen begegnet ist.


Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #31 am: 29 November 2004, 23:38:54 »
ich weiss nicht was ihm dazu bewegt hat  ( zum es ja eigentlich sinloss war )

Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #32 am: 29 November 2004, 23:42:17 »
was soll ein leuten sagen, wenn sie mich fragen ob sie ihren provider wechseln sollen ...  ?

Zitat
solangsam glaub ich das dein Provider der groessere Hacker ist.
Es ist ja fast schädlicher einen Admin zu haben , der ständig an allem runbastelt ... danach geht meistens auch bloss nix mehr .... das schaffen die meisten Hacker nicht ...

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #33 am: 29 November 2004, 23:44:43 »
Zitat
ich weiss nicht was ihm dazu bewegt hat  ( zum es ja eigentlich sinloss war )
Nein, ist ist durchaus nicht Sinnlos, weil nicht mehr GLOBAL freigegeben.
Jetzt kannst Du nur URL mit fopen öffnen, wenn der Prgrammierer expliziet die Funktion
freigegeben hat. Das macht XSS-Exploits wesentlich schwierigen, weil nicht mehr über eine globale
ungesetzte Variable (in Verbindung mit require,include ect...) ein Script über eine andere URL eingeschleust werden kann.
Schon mal aus diesem Blickwinkel betrachtet ?


Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #34 am: 29 November 2004, 23:48:28 »
sorry, ich habe nur die veraergerten Kunden gesehen, die nicht mal darüber informiert wurden sind .. erst nach anfrage .. ich finde dass nun wirkich nicht fair .. die suchen stundenlang nach einem Fehler und dann "spielt" der admin mal wieder bloss "Master of Universe"

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #35 am: 29 November 2004, 23:57:30 »
Hmmm...
Zitat
die suchen stundenlang nach einem Fehler und dann "spielt" der admin mal wieder bloss "Master of Universe"
Wenn du dem Admin jetzt spielen vorwirfst, dann muss ich Dir auch vorwerfen, das Du deine Hausaufgaben nicht gemacht hast.
D.H. DU hast das Script geschrieben und bist infolgedessen auch verantwortlich dafür, das die von DEINEM Script benötigten Funktionen auch zur Verfügung stehen.
Entweder prüfst Du das im Script ab und gibst bei nichtvorhandensein eine brauchbare Fehlermeldung aus (was ja hier auch wohl nicht der Fall war, sonst hätte man ja auch nicht stundenlang suchen brauchen ?)
Oder du schreibst in der Dokumentation, welche Funktinen gebraucht werden. dann hätte der User ja nach einem Blick in sein Server-Interface sofort feststellen können, das eine benötigte Funktion abgeschaltet wurde.
Was wäre gewesen, wenn der User auf einen Server umgezogen wäre, wo diese Funktion gesperrt ist. Wäre doch wohl auf das selbe rausgekommen.
BTW. Versucht der Admin wohl nur die Server am laufen zu halten und Hacker auszusperren. das liegt u.U. auch im Sinne des Users.

Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #36 am: 29 November 2004, 23:59:35 »
ganz einfach: dann melden sie sich .. wie in diesen netten Beispiel und es wird behoben ...   und das in 3 Tagen .. nicht in 6 Monaten ...

PS: ich wollte den "alten" Krieg ( seiweit es geigentlch überhat einen gab ) nicht von neuem beginnen ..
ich wollte nur ddamit mal sagen , das Änderungen am Server , die alle betreffen einfach mal kommuîziert werden könnten .. 

« Letzte Änderung: 30 November 2004, 00:03:50 von xyox2 »

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #37 am: 30 November 2004, 00:01:46 »
Zitat
ganz einfach
Warum beschwerst Du dich dann ?

Offline xyox2

  • **
  • 56
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #38 am: 30 November 2004, 00:03:25 »
ich bescher mich doch gar nicht, ich fand es nur unfair

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #39 am: 30 November 2004, 00:04:29 »
Zitat
ich fand es nur unfair
Das Du einen Mangel in dem Script beseitigen musst, welches Du selber geschrieben hast ?