User Registrierung [wbb2] [Lücke] |
ersatzspieler unregistriert
|
|
User Registrierung [wbb2] [Lücke] |
Beitrag Nr.: 1 |
Hab da mal was gefunden danke an Momo das er es rausgefunden hat !
getestet auf wbb2 2.3.6 pl2
User Registrierung [wbb2] [Lücke]
mit diese kleine Tuto,
eigentlich brauch ich das nicht zu schreiben, wenn ihr in acp richtig gemacht haben, aber ich will euch aufmerksamm machen
so, diese Tuto sag warum ist es wichtig ein paar einstellungen zu machen um euch und eure forum zum schützen
für manche besucher ist es ärgelisch, aber die werden schon überleben, und ihr und das forum auch, liebsten
in acp:
-> einstellungen
-> registrierung
Mehrfache Benutzung einer E-Mail-Adresse? => auf NEIN markieren
Abfrage von Sicherheitscode in der Registrierung aktivieren: => auf JA markieren
Disclaimer anzeigen? => auf JA schadet auch nicht, der inhalt was ihr wollen, auf 10 sekonden lassen wie original von wbb
E-Mail-Überprüfungsmethode: =>auf "aktivierungscode verschicken" einstellen-> schaded auch nicht wegen spam, dopple sicherungabfrag gegenüber der "Sicherheitscode" (captcha)
jetzt die frage: warum diese sch... bla bla bla
ganz einfach
- mir ist schon mal passiert , mich registrieren in ein forum: name, pass, mail und fertich, "ich bin drin"
auch von bordies von hier in deren forum
- vor paar tagen war ich beteilig in ein forum mit wbb hacken, mit zufall :gruebel:
hab mir dann das ganze WE auf die schlaue gemacht und habe ein code gefunden ( und der tut auch, wenn ihr in acp die warnung von drüber nicht warnehmen )
der schick euch 10, 100, 1000, ... neue user mit gleiche username, e-mail und pass
bei der username ist ein fehler von wbb code drin
der code schick zum bsp: ABC
dann steht in acp in die user list und member.php:
ABC1 wuppi1@mich.dort tante
ABC2 wuppi2@mich.dort tante
etc
in wbb codefehler ist so, dass wenn gleiche name kommen, mach er automatisch 1, 2 => ABC1, ABC2
ist keine prüfung ob name schon gebe wie bei e-mail adresse
edit/nachtrage:
Registrierungen von identischer IP-Adresse begrenzen: in sekonden eintragen
je höhe ist, desto besser
5 minuten oder 10 minuten schaden auch nicht, diese erschwehren deren script, und bekommen jenachdem wie die eingestellt haben, timeout, aber die können die timeout auch in teil umgehen
|
|
14.01.2010 22:43 |
|
|
|
Uff, danke für den Tipp Black, ist wirklich sicherer wenns so eingestellt ist. ^^ Danke nochmals
__________________
|
|
15.01.2010 10:51 |
|
|
|
Diese lücke ist schon UHR ALT :)
Das einfache CT sec system dekt diese auch ab
|
|
15.01.2010 15:19 |
|
|
ersatzspieler unregistriert
|
|
kann ja sein FOFO aber kannst auch sehen wie viele es noch nicht wusten
LG
|
|
15.01.2010 15:31 |
|
|
|
Thx jubel.
Ich verlasse mich auch auf CTS, aber doch mal interessant dein Beitrag - habe mir da nie so richtig Gedanken drüber gemacht ...
__________________
|
|
16.01.2010 14:14 |
|
|
|
Hab den CT auch aber hatte sicherheitshalber die variante auch gecheckt. Wobei ich zugeben muss ich kenn mich mit CT garnicht aus XD Habs nur Installieren lassen und gut war s.
__________________
|
|
22.01.2010 09:49 |
|
|
|
welche CT version den Free oder Pre ;) ich em pfehle Pre :P die ist um einiges besser
__________________ Wer in meinen Beiträgen Rechtschreipfähler findet.....darf Sie behalten
NICHT KLICKEN!!!
|
|
26.02.2010 19:26 |
|
|
|
hmm Haumi ich hatte mit CT noch nie probleme daher frageich mich was du gegen CT hattest ;) du hast es doch selber mal benutzt
__________________ Wer in meinen Beiträgen Rechtschreipfähler findet.....darf Sie behalten
NICHT KLICKEN!!!
|
|
27.02.2010 13:32 |
|
|
|
Zitat: |
Original von haumi
Hi Samurai,
Ich hab CT noch nie bei mir eingebaut und werde es auch nie bei mir einbauen.
Meine Erfahrungen waren immer negativ
und ich habe es bisher auf drei Boards wieder ausbauen dürfen.
LG
haumi |
|
oh dan war es Nobobdy der es drin hatte *denk*jedenfals in dem Nobodys wbb hilfe usw. dings
hmm also seid der neuen verson habe ich keine Probleme mehr da ich das selber nutze andere Systeme sind da schlechter und wenn überhaupt aber CT finde ich ist es sein preis wert zumal nicht jeder server sicher ist
__________________ Wer in meinen Beiträgen Rechtschreipfähler findet.....darf Sie behalten
NICHT KLICKEN!!!
|
|
28.02.2010 11:30 |
|
|
nobody
Büttel
[meine Galerie]
Dabei seit: 03.06.2009
Beiträge: 583
Herkunft: Da wo alle herkommen
Postid: 2629
|
|
Was nutzt das beste Sicherheitssystem wenn Passworte benutzt werden wie:
123....
qwertz
erna
paul18.04xxxx ( wobei xxxx das Jahr ist und indem Profil alles angegeben ist)
Es ist leider das große übel das Admins und "leitende" User Passworte benutzen die schnell rausgefunden sind.
Hier mal ein Muster zum erstellen eines Passwortes:
Heute ist ein Sturmtag
H#i&e§S/t
Die Sonderzeichen muss man sich merken.
Ein Passwort nach diesem Muster ist nicht schnell ausgelesen.
nobody
|
|
28.02.2010 17:26 |
|
|
|
hmm wenn man in die DB von ausen kommt kann man alles ,9
__________________ Wer in meinen Beiträgen Rechtschreipfähler findet.....darf Sie behalten
NICHT KLICKEN!!!
|
|
28.02.2010 19:42 |
|
|
nobody
Büttel
[meine Galerie]
Dabei seit: 03.06.2009
Beiträge: 583
Herkunft: Da wo alle herkommen
Postid: 2631
|
|
Das ist schon klaro.
Nur ist dieser Weg ja auch nicht SOOOO einfach.
Im allgemeinen benötigt man auch dazu ein Passwort.
nobody
|
|
28.02.2010 20:04 |
|
|
|
Zitat: |
Original von haumi
Hi Samurai,
Ich hab CT noch nie bei mir eingebaut und werde es auch nie bei mir einbauen.
Meine Erfahrungen waren immer negativ
und ich habe es bisher auf drei Boards wieder ausbauen dürfen.
LG
haumi |
|
Das 4. musste neu aufgebaut werden, weil es das ACP zerschossen hat...
__________________
|
|
29.06.2010 14:41 |
|
|
nobody
Büttel
[meine Galerie]
Dabei seit: 03.06.2009
Beiträge: 583
Herkunft: Da wo alle herkommen
Postid: 4126
|
|
CT-Sicherheitszusatz
Wer diesen Zusatz einbaut ist auf der richtigen Seite.
Es geht bei diesem Zusatz nur um den richtigen Einbau.
Der Zusatz ist nicht mal eben eingebaut in die Boardsoftware WBB
Da muss man schon wirklich die Einbauanweisung genau lesen und auch wirklich Schritt für Schritt befolgen.
Besser ist sogar die „Pre“-Version.
Die deckt noch mehr Lücken und oder Löcher ab.
Leider ist es so wie bei JEDER Sicherheitssoftware das sich „findige“ Köpfe hinsetzen und nach „Nachschlüsseln“ sprich Fehlern in der Software suchen und diese auch finden.
Dann wird mit diesem Nachschlüssel ein Board aufgemacht und wie es so schön heißt „gehackt“.
Dann wird sich hingestellt und geschrieben (gesagt) das mit dem CT ist „Seife“ (ein anderes Wort für die weiche Masse).
Es muss jedem Betreiber klar sein das er im Regelfall JEDEN Abend eine Sicherung fahren sollte.
Das bedeutet Datenbank Sicherung und softwar Sicherung.
Datenbanksicherung aber mit einem guten Programm.
Nicht über das ACP !!
nobody
|
|
29.06.2010 16:29 |
|
|
|
Ich habe es nicht eingebaut, das war jemand anderes. Der Techniker des Boards. Es ist von unserer Firma erst jetzt neu gehostet und übernommen worden.
__________________
|
|
29.06.2010 16:53 |
|
|
|
Kann man so etwas auch für das Gästebuch zum beispiel einstellen..ich meine ein CAPTCHA?
LG
Lilly
|
|
15.11.2010 22:01 |
|
|
|
Das Gäste buch ist ja nur eine Kategorie bzw ein Forum..und es mit einem PW schützen ist glaube ich nicht angebracht..Mir geht es um Bots die ständig sex und andere lästige Werbung schalten..im Moment schalte ich manuell frei..aber manchmal sind es 12 am Tag..
|
|
15.11.2010 22:38 |
|
|
|