Geschrieben von ersatzspieler am 14.01.2010 um 22:43:
User Registrierung [wbb2] [Lücke]Hab da mal was gefunden danke an Momo das er es rausgefunden hat !
getestet auf wbb2 2.3.6 pl2
User Registrierung [wbb2] [Lücke]
mit diese kleine Tuto,
eigentlich brauch ich das nicht zu schreiben, wenn ihr in acp richtig gemacht haben, aber ich will euch aufmerksamm machen
so, diese Tuto sag warum ist es wichtig ein paar einstellungen zu machen um euch und eure forum zum schützen
für manche besucher ist es ärgelisch, aber die werden schon überleben, und ihr und das forum auch, liebsten
in acp:
-> einstellungen
-> registrierung
Mehrfache Benutzung einer E-Mail-Adresse? => auf NEIN markieren
Abfrage von Sicherheitscode in der Registrierung aktivieren: => auf JA markieren
Disclaimer anzeigen? => auf JA schadet auch nicht, der inhalt was ihr wollen, auf 10 sekonden lassen wie original von wbb
E-Mail-Überprüfungsmethode: =>auf "aktivierungscode verschicken" einstellen-> schaded auch nicht wegen spam, dopple sicherungabfrag gegenüber der "Sicherheitscode" (captcha)
jetzt die frage: warum diese sch... bla bla bla
ganz einfach
- mir ist schon mal passiert , mich registrieren in ein forum: name, pass, mail und fertich, "ich bin drin"
auch von bordies von hier in deren forum
- vor paar tagen war ich beteilig in ein forum mit wbb hacken, mit zufall :gruebel:
hab mir dann das ganze WE auf die schlaue gemacht und habe ein code gefunden ( und der tut auch, wenn ihr in acp die warnung von drüber nicht warnehmen )
der schick euch 10, 100, 1000, ... neue user mit gleiche username, e-mail und pass
bei der username ist ein fehler von wbb code drin
der code schick zum bsp: ABC
dann steht in acp in die user list und member.php:
ABC1 wuppi1@mich.dort tante
ABC2 wuppi2@mich.dort tante
etc
in wbb codefehler ist so, dass wenn gleiche name kommen, mach er automatisch 1, 2 => ABC1, ABC2
ist keine prüfung ob name schon gebe wie bei e-mail adresse
edit/nachtrage:
Registrierungen von identischer IP-Adresse begrenzen: in sekonden eintragen
je höhe ist, desto besser
5 minuten oder 10 minuten schaden auch nicht, diese erschwehren deren script, und bekommen jenachdem wie die eingestellt haben, timeout, aber die können die timeout auch in teil umgehen
getestet auf wbb2 2.3.6 pl2
User Registrierung [wbb2] [Lücke]
mit diese kleine Tuto,
eigentlich brauch ich das nicht zu schreiben, wenn ihr in acp richtig gemacht haben, aber ich will euch aufmerksamm machen
so, diese Tuto sag warum ist es wichtig ein paar einstellungen zu machen um euch und eure forum zum schützen
für manche besucher ist es ärgelisch, aber die werden schon überleben, und ihr und das forum auch, liebsten
in acp:
-> einstellungen
-> registrierung
Mehrfache Benutzung einer E-Mail-Adresse? => auf NEIN markieren
Abfrage von Sicherheitscode in der Registrierung aktivieren: => auf JA markieren
Disclaimer anzeigen? => auf JA schadet auch nicht, der inhalt was ihr wollen, auf 10 sekonden lassen wie original von wbb
E-Mail-Überprüfungsmethode: =>auf "aktivierungscode verschicken" einstellen-> schaded auch nicht wegen spam, dopple sicherungabfrag gegenüber der "Sicherheitscode" (captcha)
jetzt die frage: warum diese sch... bla bla bla
ganz einfach
- mir ist schon mal passiert , mich registrieren in ein forum: name, pass, mail und fertich, "ich bin drin"
auch von bordies von hier in deren forum
- vor paar tagen war ich beteilig in ein forum mit wbb hacken, mit zufall :gruebel:
hab mir dann das ganze WE auf die schlaue gemacht und habe ein code gefunden ( und der tut auch, wenn ihr in acp die warnung von drüber nicht warnehmen )
der schick euch 10, 100, 1000, ... neue user mit gleiche username, e-mail und pass
bei der username ist ein fehler von wbb code drin
der code schick zum bsp: ABC
dann steht in acp in die user list und member.php:
ABC1 wuppi1@mich.dort tante
ABC2 wuppi2@mich.dort tante
etc
in wbb codefehler ist so, dass wenn gleiche name kommen, mach er automatisch 1, 2 => ABC1, ABC2
ist keine prüfung ob name schon gebe wie bei e-mail adresse
edit/nachtrage:
Registrierungen von identischer IP-Adresse begrenzen: in sekonden eintragen
je höhe ist, desto besser
5 minuten oder 10 minuten schaden auch nicht, diese erschwehren deren script, und bekommen jenachdem wie die eingestellt haben, timeout, aber die können die timeout auch in teil umgehen
