Dringend Hilfe, Hackerangriff!

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #1

    Dringend Hilfe, Hackerangriff!

    Hallo

    Ich habe ein Problem:

    Meine Seite wird gerade von einem Hacker angegriffen.

    Kurze Schilderung der Ausgangssituation:

    Auf meiner Seite können User Beiträge eingeben. Ich habe auf der Seite eine Möglichkeit, einen eingegebenen Beitrag durch den Besitzer (ausschließlich) bearbeiten zu lassen. Leider habe ich dabei vergessen, dass man als NICHT Besitzer trotzdem über die Eingabe des entsprechenden Links mit der angefügten Variablen, auf diese Bearbeiten -Seite gelangen kann.

    Ich muss also diese "Direktlinks" verbieten. Wie geht sowas?

    Erbitte Hilfe...

    Grüße, Dennis

    INSERT nervenzusammenbruch TO dennis WHERE grund = 'Hacker'
    Stichworte: -
  • #2
    Gibts da ein Login oder so?

    Wie soll man dir helfen ohne irgendwas von dem Gegeben zu wissen?

    mfg

    Kommentar

    • #3
      Re: Dringend Hilfe, Hackerangriff!

      Du muss prüfen, ob der eingeloggte auch der Besitzer ist, dann passiert sowas nicht.

      Kommentar

      • #4
        OK. Ein paar Eckdaten.

        Wir haben wegen der Barrierefreiheit die Registrierung ohne Mailverifizierung zugelassen (Fehler 1 - behoben!)

        Ein angemeldeter User kann Beiträge verfassen. Diese Beiträge kann jeder User danach sehen. Die Beitragsseite enthält, je nachdem, ob es sich beim Betrachter um den Erzeuger des Beitrag handelt, einen Link zu einer Bearbeiten seite nach dem Format:

        .......bearbeiten.php?name=beitragsname

        Die Sicherheitslücke ist also die, dass jeder User, der diesen Linkaufbau kennt, theoretisch (und praktisch) einfach den Link selber in seine Adressleiste reinschreibt und somit jeden beliebigen Beitrag ändern kann.

        Ich hoffe man kann das verstehen... Ich würde ja die Seite bekanntgeben, aber nicht mit diesem Fehler ;-)

        Kommentar

        • #5
          OffTopic:
          PHP-Code:
          INSERT ... TO ... WHERE 
          Hmmm..


          Dass es keine Prüfung gibt, ist natürlich generell ne ziemlich harte Ansage.

          Kommentar

          • #6
            Es gibt ne Prüfung, nämlich auf der Beitragsseite. Dort wird der bearbeiten Link nur dann angezeigt, wenn user=angemeldetet User - aber das Problem mit dem Link besteht weiterhin...

            Kommentar

            • #7
              Wenn der Link nur angezeigt wird, wenn man eingeloggt ist, dann kannst du ja auf der Edit-seite überprüfen, ob der beitrag dem benutzer gehört..

              genauso, wie du vorher das ganze für den link gemacht hast..

              mfg

              Kommentar

              • #8
                *patsch*

                OK, da muss man erst in ein Forum schreiben um darauf zu kommen... manchmal wird man echt verpeilt, wenn man zu lange vor dem Code sitzt...

                Woanders heißt das wohl Betriebsblindheit.

                Ich werds mal eben testen.

                Danke schonmal

                Kommentar

                • #9
                  EDIT:
                  link und beschreibung des tollen "security-dienstleistungsangebots" entfernt (war/ist über den www-button des op zugänglich)


                  Zuletzt geändert von 3DMax; 06.09.2008, 02:14.

                  Kommentar

                  • #10
                    Es scheint zu klappen :-)

                    Supi...

                    Kommentar

                    • #11
                      Was hat der Eintrag auf der Seite DeuCoNet hier zu sagen? Ich bin ausgebildeter Fachinformatiker und habe IuK studiert. Ich betreue seit Jahren meine zufriedenen Stammkunden.

                      PHP ist dafür keine Voraussetzung. Dies habe ich erst vor 2 Monaten durch Selbststudium gelernt. Was also bitte soll LOL an der Stelle heißen?

                      Frechheit. So kann man auch die Forenkultur kaputt machen.

                      Vielen Dank an alle, die geholfen haben.

                      PS: Deuconet hat nichts mit diesem Problem zu tun.

                      Kommentar

                      • #12
                        Original geschrieben von dennisdeutschma
                        Was also bitte soll LOL an der Stelle heißen?
                        dass ich es paradox finde, wenn ein geschäftsführer einer firma, die computersicherheits-dienstleistungen anbietet, diese lächerliche frage stellt.

                        begriffe wie "security by obscurity" und "never trust incoming data" sollten dann schon geläufig sein.

                        Kommentar

                        • #13
                          Was bitte ist daran paradox? Was haben Sicherheitsdienstleistungen (Antivirensoftware, Firewalls etc...) mit dem sicheren Programmieren einer webseite zu tun? Ich bin kein Webentwickler und biete das auch nicht meinen Kunden an.

                          Außerdem bin ich nicht mit PHP Allround -Wissen zur welt gekommen.

                          Wegen Typen wie dir, macht es doch immer wieder Spaß, einen Beitrag in einem Forum zu schreiben. Und Respekt: Knapp an die 2000 Beiträge... Wenn ich die Zeit dafür hätte, soviel Zeit vor dem PC zu sitzen, dann würden mir Begriffe wie "security by obscurity" und "never trust incoming data" auch ein Begriff sein. (Jaja, ich weiß, seit 2004...). Ich verdiene lieber weiter ein Schweinegeld mit meiner Firma.

                          Leider habe ich wohl nicht die Weisheit mit Löffeln gefressen, so wie du, aber es müsste schon einiges bei mir kaputt sein, wenn ich mich erstmal auf die Suche nach deiner Homepage begeben würde, um dich öffentlich für deine Fehler zu defamieren!

                          So. Wenn dies keine Vorlage für deinen nächsten Post ist... hast ja die 2000 bald voll!

                          Kommentar

                          • #14
                            irgendwie belustigst du mich, wenn ich mir vorstelle, wie dir gerade der geifer aus deinem hochrotem kopf tropft, herr fachinformatiker.

                            Kommentar

                            • #15
                              Naja, wenn es dich glücklich macht... Aber ich muss dich enttäuschen. Da ich das Problem ja jetzt beseitigt habe, kann ich mich um die beiden Mädels kümmern, die bei mir im Wohnzimmer sitzen :-)

                              Ich habe nämlich am Freitagabend bessere Dinge zu tun, als am PC zu sitzen und mich über andere Leute zu belustigen...

                              Aber über dich [...Ausdruck spare ich mir, wegen dem Niveau..] könnte ich mich beömmeln.

                              Dann mach mal schön weiter, wenn es dich glücklich macht. Ich kann das ab. Gib ruhig alles was du hast.

                              Schönes Leben weiterhin...

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X