12.11.2012, 12:39
Was du meinst ist eine Art von XSS (Cross Site Scripting).
Dabei werden bestimmte GET-Variablen direkt so wieder in den Code integriert, wie sie als Parameter übergeben wurden.
Update (kleine Korrektur):
Um genau zu sein würde es sich hier nicht um eine XSS sondern eine CSRF/XSRF (Cross Site Request Forgery) Lücke handeln.
Allerdings sind diese Veränderungen nicht permanent, sondern lediglich über einen präparierten Link für denjenigen zu sehen, der ihn anklickt.
Allerdings gehe ich stark davon aus, dass die Standard GET-Parameter von MyBB durchaus sauber gefiltert werden. Bei Plugins kann das jedoch durchaus nicht der Fall sein.
Man sollte auch sehen, auf welchem Level der Angriff erfolgte.
Ist es tatsächlich über die Website gelaufen, oder wurde gar der Server direkt angegriffen? Wenn letzteres der Fall ist, wird dir ein cleanen deiner Dateien nicht viel bringen, da die eigentliche Sicherheitslücke dann nicht geschlossen ist.
Wenn es tatsächlich über das Forum passiert ist, folgendes:
Um solche Angriffe über MyBB mit Dateimodifizierungen durchführen zu können, muss es ansonsten eine Lücke geben, die entweder die Ausführung von PHP-Code erlaubt, oder das einbinden von anderen Dateien (Remote-File-Inclusion) gestattet.
Typische "anfällige" Applikationen sind dabei Dateimanager irgendwelcher Art. Ein anderer Standard Angriffsvektor sind Formulare, bzw. Formulareingaben, welche nicht ausreichend geprüft oder unsicher verarbeitet werden.
Dort kommt dann die Frage auf: Welche Plugins hast du installiert?
Eine weitere Möglichkeit wäre ein anderer Bereich der Website, der parallel zum Forum läuft. Hast du irgendwelche zusätzlichen PHP-Skripts, neben dem Forum, existent? Ein CMS beispielsweise?
MfG
Raphael
Dabei werden bestimmte GET-Variablen direkt so wieder in den Code integriert, wie sie als Parameter übergeben wurden.
Update (kleine Korrektur):
Um genau zu sein würde es sich hier nicht um eine XSS sondern eine CSRF/XSRF (Cross Site Request Forgery) Lücke handeln.
Allerdings sind diese Veränderungen nicht permanent, sondern lediglich über einen präparierten Link für denjenigen zu sehen, der ihn anklickt.
Allerdings gehe ich stark davon aus, dass die Standard GET-Parameter von MyBB durchaus sauber gefiltert werden. Bei Plugins kann das jedoch durchaus nicht der Fall sein.
Man sollte auch sehen, auf welchem Level der Angriff erfolgte.
Ist es tatsächlich über die Website gelaufen, oder wurde gar der Server direkt angegriffen? Wenn letzteres der Fall ist, wird dir ein cleanen deiner Dateien nicht viel bringen, da die eigentliche Sicherheitslücke dann nicht geschlossen ist.
Wenn es tatsächlich über das Forum passiert ist, folgendes:
Um solche Angriffe über MyBB mit Dateimodifizierungen durchführen zu können, muss es ansonsten eine Lücke geben, die entweder die Ausführung von PHP-Code erlaubt, oder das einbinden von anderen Dateien (Remote-File-Inclusion) gestattet.
Typische "anfällige" Applikationen sind dabei Dateimanager irgendwelcher Art. Ein anderer Standard Angriffsvektor sind Formulare, bzw. Formulareingaben, welche nicht ausreichend geprüft oder unsicher verarbeitet werden.
Dort kommt dann die Frage auf: Welche Plugins hast du installiert?
Eine weitere Möglichkeit wäre ein anderer Bereich der Website, der parallel zum Forum läuft. Hast du irgendwelche zusätzlichen PHP-Skripts, neben dem Forum, existent? Ein CMS beispielsweise?
MfG
Raphael