Thema: Hacker Spassbahnforum
Autor: Magn8us 8M.
Datum: 11.10.2007 10:39
In diesem Fall hat der Forumsbetreiber leider keinen Einfluß auf die Technik. Das Spaßbahnforum scheint auf dem Server des Boardherstellers in Chigago zu liegen.
Die verwenden selbst auch die Version 1.7 aus 2006. Seither gibt es wohl kein Update. Das ganze basiert auf PHP/MySQL.
Wie man dem Web entnehmen kann, wurde auch die Seite des Herstellers durch die türkische Spaßfraktion gehackt.
Wenn man ein wenig rumgooglet findet man schnell heraus, daß das WowBB leider für Angriffe geeignet ist.
WowBB is reportedly affected by multiple input validation vulnerabilities. These issues are due to a failure of the application to properly sanitize user-supplied input prior to including it in dynamic web content and SQL database queries. An attacker can leverage these issues to manipulate or reveal database contents through SQL injection attacks as well as carry out other attacks and steal cookie-based authentication credentials through cross-site scripting attacks. http://www.securityfocus.com/bid/11429 http://www.wowbb.com/
Einige der Probleme sind wohl in Version 1.7 behoben worden. Aber offensichtlich leider nicht alle.
Da der Hersteller seinen Dienst u.a. monatlich abrechnet ist er hier eigentlich in der Pflicht das zu unterbinden.
So, zurück zur Gartenbahn. Hier ist das Wetter gerade so schön :)
|
