Ergebnis 1 bis 4 von 4

Thema: CSRF-Sicherheitslücke im ModCP (09.01.2015) Code

  1. #1
    Profi-Benutzer
    Registriert seit
    19.10.2001
    Alter
    47
    Beiträge
    353

    CSRF-Sicherheitslücke im ModCP (09.01.2015) Code

    Hallo zusammen,
    vielleicht schaut ja noch jemand in dieses alte Unterforum und könnte mir den zu ändernden Code der modcp\global.php posten damit die CSRF-Sicherheitslücke geschlossen werden kann.
    Ich komme mit der "neuen" vB Syntax nicht so zu recht um das selbst zu verstehen...

    auch gerne per PN falls der Code hier nicht öffentlich erwünscht ist.
    Gruß Tom

  2. #2
    vB-Guru Avatar von Boothby
    Registriert seit
    28.09.2001
    Alter
    43
    Beiträge
    2.160
    Blog-Einträge
    1
    CSRF Handling gab es frühestens mit vB3.6.10 bzw. vB3.7.0 RC 4. Soll heißen, in vB3.0 wurden CSRF nicht berücksichtigt. Somit kann man den Code auch nicht zurückportieren. Wenn du aber unbefugten den Zugang zum ModCP verwehrst und das Verzeichnis durch eine .htaccess-Datei passwortschützt, solltest du eigentlich was dieses Thema anbelangt beruhigt sein. Ich würde mir eher über die Sicherheit vom Rest des Forums Gedanken machen, da es doch sehr alt ist.
    LG Stefan

    Scott me up, Beamie!!

    Unser vB: Television Board

  3. #3
    Profi-Benutzer
    Registriert seit
    19.10.2001
    Alter
    47
    Beiträge
    353
    Danke Boothby für Deine Antwort!

    alt heißt ja nicht gleich unsicher so lange man die entprechenden Sicherheitslücken nachgepatched hat...

    Mir ging es dabei nur um folgende Codestellen
    PHP-Code:
    $vbulletin->input->clean_array_gpc('p', array(
        
    'adminhash' => TYPE_STR,
    )); 
    und
    PHP-Code:
    else if ($_POST['do'] AND ADMINHASH != $vbulletin->GPC['adminhash'])
    {
        if (
    $_POST['login_redirect'])
        {
            unset(
    $_GET['do'], $_POST['do'], $_REQUEST['do']);
        }
        else
        {
            
    print_cp_login(true);    
        }

    welche ich so nicht 1:1 auf vB3.0 anwenden kann da die alte Version das "$vbulletin->XYZ" nicht interpretieren kann.
    Gruß Tom

  4. #4
    vB-Guru Avatar von Boothby
    Registriert seit
    28.09.2001
    Alter
    43
    Beiträge
    2.160
    Blog-Einträge
    1
    CSRF werden über unique Securitytokens verhindert, die vom System erzeugt, dem jeweiligen User in seiner Session zugeordnet, dann im <form>-Abschnitt im HTML eingebettet und nach Absenden des Formulars vom System abgeglichen werden müssen. Dies alles kann vB3.0 nicht und deswegen wäre jegliche Rückportierung dieses kurzen Codeabschnittes sinnfrei. ;-) Zur Implementierung dieses Systems wären umfangreiche Codeänderungen notwendig, die über den Patch weit hinaus gehen.
    Geändert von Boothby (09.01.2015 um 23:51 Uhr)
    LG Stefan

    Scott me up, Beamie!!

    Unser vB: Television Board

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Forum - Sicherheitslücke??
    Von Revenge im Forum vBulletin 4 Fragen und Probleme
    Antworten: 2
    Letzter Beitrag: 12.07.2012, 01:30
  2. Sicherheitslücke!!!
    Von Gizz Da Juice im Forum vBulletin 3.8 Fragen und Probleme
    Antworten: 2
    Letzter Beitrag: 07.05.2009, 06:53
  3. Sicherheitslücke?
    Von ecki77 im Forum vBulletin 3.6 Fragen und Probleme
    Antworten: 8
    Letzter Beitrag: 23.01.2008, 12:21
  4. sicherheitslücke! code kann eingeschleust werden!
    Von thrown-out im Forum vBulletin 3.6 Fragen und Probleme
    Antworten: 12
    Letzter Beitrag: 28.10.2007, 21:18

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •