Sicherheitslücke in xenForo

[ConDragon]

ok. Wenn ich das richtig verstanden habe: Wenn man so ausspioniert wird ist man einfach selber zu dumm, oder?

 

[Deleted member 16202]

Google.ch -> SQLInjection

Hast du eine SQLInjection bei Google.ch gemacht? Und gabs dann für dich ein BugBounty?

 

[batthomas]

Hast du eine SQLInjection bei Google.ch gemacht? Und gabs dann für dich ein BugBounty?

Nein, er soll nach SQLInjection suchen! xD Er weiss ja nicht, was das ist.

 

[Deleted member 16202]

Nein, er soll nach SQLInjection suchen! xD Er weiss ja nicht, was das ist.

xD Jetzt hab ichs auch verstanden

 

[Janmm14]

Es sollte ein E-Mail an alle registrierten Mitglieder verschickt werden!

 

[Exa_Byte]

Es sollte ein E-Mail an alle registrierten Mitglieder verschickt werden!

Bin ich auch der Meinung.
Das Team sagt jedoch zu der Annahme das die Sicherheitslücke seit Januar vorhanden ist:
"Nein, ich denke das wäre uns aufgefallen".
Wie ich aber in dem Beitrag https://www.gommehd.net/forum/threads/sicherheitsluecke-bitte-durchlesen.488702/ erwähnt habe, ist es wahrscheinlich falsch.

Deswegen sollte das Team mal etwas unternehmen und an jeden Nutzer eine E-Mail schicken.

MfG
ExaByte

 

[Deleted member 16202]

Da ist die Frage, wieso ist es ihnen den jetzt aufgefallen? Vielleicht durch meine und
@Knockback_King Beiträge? Oder haben sie es selbst bemerkt?

 

[ShoxX304]

Da ist die Frage, wieso ist es ihnen den jetzt aufgefallen? Vielleicht durch meine und
@Knockback_King Beiträge? Oder haben sie es selbst bemerkt?

Ich denke mal durch die massiven Performanceprobleme ist es aufgefallen. Wenn du im Browser die Entwicklerkonsole öffnest, kannst du ja den Ladevorgang beobachten. Da wird wohl aufgefallen sein, dass da eine Datei ist, die nicht unbedingt dazugehört.

 

[Chromosontix]

Das ist gut und schön!
Das Serverteam hat sich mittlerweile aber schon selbst um das Problem gekümmert, wodurch das Problem nicht mehr existiert

Ich denke dass es immer noch machbar ist Daten abzufangen oder ähnliches.

 

[KingZNaiver]

Kann für die "two-step" nicht bestätigen. komme nicht mehr in GMX rein. GARNICHT!

 

[Janmm14]

Kann für die "two-step" nicht bestätigen. komme nicht mehr in GMX rein. GARNICHT!

Hast du wohl das gleiche Passwort verwendet. Wie sieht es aus mit der Passwort-vergessen-Funktion?

 

[Ender1906]

Vielen Dank auch das kann Tage dauern bis ich das auf allen webseiten augestauscht habe

 

[_lennart]

https://xenforo.com/community/threads/xenforo-password-encryption.38908/#post-429369
sha1(sha1($password) . $salt); oder sha256(sha256($password) . $salt); wird verwendet.

Allerdings fängt das eingebundene Skript (u1x.xyz/h.js) die Passwörter bereits im Klartext beim Loginformular ab, weshalb die Verschlüsselung in dem Moment noch nicht wirksam ist.

Ja das ist mir klar.
Aber falls die Passwörter ungehasht gespeichert werden kann das Skript die Passwörter auch direkt aus der Datenbank auslesen.

 

[JPersiaa]

Hui,

ich habe dazu eine Frage zum Handy.
Wo kann ich auf meinem Handy das Passwort ändern ?
Sobald ich auf meinem Profil auf Einstellung klicke komme ich nur auf eine Seite, und kann nicht zu den anderen Seiten, wie "Account Details" oder weiteres. ( https://www.gommehd.net/forum/account/personal-details )

Ich hoffe mir kann geholfen werden ^^

Sayonara ♡

 

[ShoxX304]

Ja das ist mir klar.
Aber falls die Passwörter ungehasht gespeichert werden kann das Skript die Passwörter auch direkt aus der Datenbank auslesen.

Das Skript liest die Passwörter aber mit dem Klick auf Login im Klartext aus und schickt (POST) diese an eine a.php Datei auf seinem Server. Erst mit dem Klick auf Login werden diese verschlüsselt und mit der XenForo-Datenbank abgeglichen, auf die der "Hacker" keinen Zugriff hat.

Hui,

ich habe dazu eine Frage zum Handy.
Wo kann ich auf meinem Handy das Passwort ändern ?
Sobald ich auf meinem Profil auf Einstellung klicke komme ich nur auf eine Seite, und kann nicht zu den anderen Seiten, wie "Account Details" oder weiteres. ( https://www.gommehd.net/forum/account/personal-details )

Ich hoffe mir kann geholfen werden ^^

Sayonara ♡

Probier's mal hiermit
https://www.gommehd.net/forum/account/security

 

[JPersiaa]

Probier's mal hiermit
https://www.gommehd.net/forum/account/security

Danke dir ^^

 

[_lennart]

Das Skript liest die Passwörter aber mit dem Klick auf Login im Klartext aus und schickt (POST) diese an eine a.php Datei auf seinem Server. Erst mit dem Klick auf Login werden diese verschlüsselt und mit der XenForo-Datenbank abgeglichen, auf die der "Hacker" keinen Zugriff hat.


Probier's mal hiermit
https://www.gommehd.net/forum/account/security

Das meinte ich ja xD

 

[CuzImLloyd]

Auch wenn man schon eingeloggt war? D:

Auch wenn man schon eingeloggt war? D:

 

[Schinkenspeck]

Muss ich nur bei Gomme mein Passwort jetzt ändern ?
Auf meinen Pc kann man dadurch ja kein Zugriff erhalten ahben, oder ?

Sry für die Fragen

 

[Midnight_Myth]

Auch wenn man schon eingeloggt war? D:

Auch wenn man schon eingeloggt war? D:

Zur Sicherheit würde ich es schon machen, da man ehrlich gesagt nicht genau weiß, wie lange das Script schon drauf ist. Es ist nämlich schon weit länger drauf ._.

Muss ich nur bei Gomme mein Passwort jetzt ändern ?
Auf meinen Pc kann man dadurch ja kein Zugriff erhalten ahben, oder ?

Sry für die Fragen

Überall dort, wo du das selbe Passwort benutzt. Wenn du überall andere Passwörter benutzt, dann Gratulation. Machen nicht mehr viele Leute so.