Hallo zusammen,
vielleicht schaut ja noch jemand in dieses alte Unterforum und könnte mir den zu ändernden Code der modcp\global.php posten damit die CSRF-Sicherheitslücke geschlossen werden kann.
Ich komme mit der "neuen" vB Syntax nicht so zu recht um das selbst zu verstehen...
auch gerne per PN falls der Code hier nicht öffentlich erwünscht ist.
Gruß Tom
CSRF Handling gab es frühestens mit vB3.6.10 bzw. vB3.7.0 RC 4. Soll heißen, in vB3.0 wurden CSRF nicht berücksichtigt. Somit kann man den Code auch nicht zurückportieren. Wenn du aber unbefugten den Zugang zum ModCP verwehrst und das Verzeichnis durch eine .htaccess-Datei passwortschützt, solltest du eigentlich was dieses Thema anbelangt beruhigt sein. Ich würde mir eher über die Sicherheit vom Rest des Forums Gedanken machen, da es doch sehr alt ist.
Danke Boothby für Deine Antwort!
alt heißt ja nicht gleich unsicher so lange man die entprechenden Sicherheitslücken nachgepatched hat...
Mir ging es dabei nur um folgende Codestellen
undPHP-Code:$vbulletin->input->clean_array_gpc('p', array(
'adminhash' => TYPE_STR,
));
welche ich so nicht 1:1 auf vB3.0 anwenden kann da die alte Version das "$vbulletin->XYZ" nicht interpretieren kann.PHP-Code:else if ($_POST['do'] AND ADMINHASH != $vbulletin->GPC['adminhash'])
{
if ($_POST['login_redirect'])
{
unset($_GET['do'], $_POST['do'], $_REQUEST['do']);
}
else
{
print_cp_login(true);
}
}
Gruß Tom
CSRF werden über unique Securitytokens verhindert, die vom System erzeugt, dem jeweiligen User in seiner Session zugeordnet, dann im <form>-Abschnitt im HTML eingebettet und nach Absenden des Formulars vom System abgeglichen werden müssen. Dies alles kann vB3.0 nicht und deswegen wäre jegliche Rückportierung dieses kurzen Codeabschnittes sinnfrei. ;-) Zur Implementierung dieses Systems wären umfangreiche Codeänderungen notwendig, die über den Patch weit hinaus gehen.
Geändert von Boothby (09.01.2015 um 23:51 Uhr)
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Berechtigungen
Zitieren
Lesezeichen