Sicherheitsleck innerhalb mybb - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html) +--- Forum: MyBB 1.2.x und älter (https://www.mybb.de/forum/forum-27.html) +---- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-36.html) +---- Thema: Sicherheitsleck innerhalb mybb (/thread-20424.html) |
Sicherheitsleck innerhalb mybb - Cream1974 - 06.06.2008 Wenn über das User Profil sämtliche Beiträge eines Users angezeigt werden, kann über diesen Umweg ein gesperrter Bereich betreten werden und somit auch die Beiträge !!! Wie kann man dieses Leck stopfen, da dadurch doch sensible Daten über Umwege sichtbar sind. RE: Sicherheitsleck innerhalb mybb - ows - 07.06.2008 Ich vermute, dass da Forenrechte falsch oder ungenügend gesetzt sind; im Normalfall sollte das eigentlich nicht möglich sein (sofern ich den Begriff "gesperrter Bereich" richtig verstehe). Evtl. hilft es auch, die Caches "usergroups" und "forumpermissions" im Cache-Manager des Admin-CP zu erneuern. RE: Sicherheitsleck innerhalb mybb - Cream1974 - 07.06.2008 Richtig, Forenrechte sind gesetzt. Normalerweise können auch nur Moderatoren und Administratoren diesen Bereich sehen. Geht man jedoch auf das Profil eines Moderators oder Administrators und lässt sich dann alle Beiträge anzeigen, werden diese aufgelistet und man kann über dieses Hintertürchen in den geschützten Bereich gelangen bzw. direkt die Beiträge lesen. RE: Sicherheitsleck innerhalb mybb - StefanT - 07.06.2008 Benutzt du sekundäre Gruppen oder die Foren-Berechtigungen "nicht lesen" und "sehen"? RE: Sicherheitsleck innerhalb mybb - Cream1974 - 08.06.2008 Ja, zum Teil werden sekundäre Gruppen verwendet. Jedoch sind die normalen User nur in der primären Gruppe "ungeprüfte Mitglieder" und können dementsprechend nicht alle Forengebiete sehen. Das ist also wie das Beispiel, dass der normale User das Admin-ACP nicht sehen kann. Sämtliche Foren sind also dementsprechend so eingestellt, dass die Beitragserstellung wie auch die Ansicht erst freigegeben wird, sobald die Primäre Gruppe manuell auf "Geprüftes Mitglied" gestellt wird. Wenn du willst, dann können wir ja mal einen Termin ausmachen, wo du es dir direkt in der Adminkonsole anschauen kannst. Nachtrag: Ich habe den Fehler gefunden. Es lag an den Forenberechtigungseinstellungen. Da war noch ein Hacken in dieser Gruppe drin. |