Sicherheitsproblem - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html) +--- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-88.html) +--- Thema: Sicherheitsproblem (/thread-33983.html) Seiten: Seiten:
1
2
|
Sicherheitsproblem - Brubaker - 04.12.2016 Hallo, Uns hat ein User auf ein Sicherheitsproblem aufmerksam gemacht, welches sich folgendermaßen äußert: Wir wollen, daß alle sehen können wer grad online ist! Unter "wer ist online" gibt's dann auch noch eine Zusatzansicht "ganze Liste anzeigen"! Wenn man diese Liste aufruft dann kann man dort über diesen Link genau in dieses Forum springen, wo sich derjenige grad befindet. Dies erfolgt ohne jegliche Sicherheitsprüfung, d.h. selbst "guests" können dann dorthin springen, wo sich grad Administratoren aufhalten und nur die Administratoren auch eine Berechtigung hin haben! Wie kann man das machen, daß dort auch eine Sicherheitsprüfung erfolgt und nur jene auch dorthin springen können, die aufgrund der Benutzergruppe auch die Rechte für dort haben? Leider hilft es nicht diesen Zusatzlink "ganze Liste anzeigen" rauszunehmen, da man auch über "forumsurl/online.php" direkt auch auf diese Lieste kommt! lg und thx im voraus für eure Hilfe! RE: Sicherheitsproblem - MrBrechreiz - 04.12.2016 Die Überprüfung findet statt. Du / Ihr werdet mit grosser Sicherheit falsche Rechte den Gruppen gegeben haben, sodass diese Zugriff auf Seiten erhalten, wo sie keine haben sollten. RE: Sicherheitsproblem - Brubaker - 04.12.2016 Ok -danke erstmal! Wir sind 2 Admins, da weiß der eine Koch manchmal nicht, wieviel Salz der andere schon in die Suppe getan hat! Schauen uns die ganzen Berechtigungen nochmal genau durch. lg RE: Sicherheitsproblem - MrBrechreiz - 04.12.2016 Ja macht das bitte. Vorallem die Gastgruppe unter die Lupe nehmen. RE: Sicherheitsproblem - Brubaker - 04.12.2016 Wir haben gesehen, daß die functions.php verändert war und haben die Originaldatei reingespielt - jetzt paßt die Prüfung auch bei Links wieder! Gibt's da noch irgendwelche bekannten Gründe, wodurch die functions.php verändert worden sein könnte? RE: Sicherheitsproblem - MrBrechreiz - 04.12.2016 Wenn es nicht durch euch verändert wurde und das die aktuellste war, solltet ihr euer FTP Konto ein neues PW gönnen, denn das könnte das Einfallstor sein. Ein FTP Client sollte immer von der Herstellerseite bezogen werden und nicht von dubiosen Seiten. RE: Sicherheitsproblem - Brubaker - 04.12.2016 Wir denken, den Übeltäter entlarvt zu haben! Es war ein Plugin "AbsoluteTime1.8.2" welches da die functions.php manipuliert! Ist für das setzen der Zeit auf "absolut-Time" noch ein anderes ZUVERLÄSSIGES plugin bekannt? RE: Sicherheitsproblem - MrBrechreiz - 04.12.2016 Hmm das ist von waldo. Denke aber nicht das es ein Sicherheitsrisiko darstellt. Was als zusätzliches Plugin dabei sein muss ist das Plugin "PluginLibrary", welches änderungen an den Files vornimmt. Dennoch denke ich nicht, dass dies die Ursache war / ist. Wie sieht es mit den Rechten der Gruppe(n) aus, sind diese richtig gesetzt ? RE: Sicherheitsproblem - Brubaker - 04.12.2016 Ja - wir haben es mehrfach getestet! Wenn wir das Plugin deinstallieren paßt das functions.php wieder und das Sicherheitsproblem ist weg. Sobald wir das Plugin installieren und aktivieren, ist das Problem wieder da und die Leute bekommen alle Links angezeigt und können über diese in Foren eindringen, wo sie sonst keine Berechtigung haben! Zusätzlich erkenne wir, daß das functions.php verändert wurde! Installiert hab ich für das Plugin nur das "absolutetime.php" und die 3 Language-Files installiert! lg RE: Sicherheitsproblem - MrBrechreiz - 04.12.2016 Ich habe es mir eben auch Local installiert samt PluginLibrary. Gastgruppe alle Rechte entzogen um auf ein Thema / Forum oder Beitrag zugreifen zu können. Mit 2ten Browser als Gast in die Onlinliste um zu schaun wo sich der Admin aufhält und was er macht. Admin sitzt in einen Thema welches für Gäste unzugänglich ist. Gast sieht nur in der Onlineliste, das der Admin ein Thema liest, kommt aber nicht darein. Das heisst, ich kann den Fehler nicht nachvollziehen. |