Update der Forensoftware

Jaegermeist0r

Administrator
Teammitglied
Update der Forensoftware​

Es gab ein Update der Forensoftware, normalerweise gibt es dafür keien News, allerdings sollten von einigen die Postfächer überquillen, da das Update alle PMs die gelöscht wurden, wiederhergestellt hat.

Also viel Spass beim löschen ;)
 

hoohead

New Member
Nicht nett, mich hier negativ zu bewerten ;)

Wurde von Nek im icq gefragt, ob das Board nun sicher sei.
Also die Einspielen der neusten wbb Version (2.3.6pl1), hat die SQL Injection Lücke geschlossen.
Es gibt zwar noch eine XSS Lücke, in der Register, aber XSS Angriffe effektiv zu verwirklichen, ist relativ schwer.
Was ich noch machen würde, wenn es mein Board wäre, ein htaccess fürs ACP.

so long

hoo
 

sondersonde

New Member
: will gar nicht spammen, vielleicht ist das thema geclosed besser.

aber: ist wirklich nicht nett, direkt schlecht zu bewerten. hab direkt mal nen 10er gekontert.
auf der anderen seite: woher kommt dein eindruck, dass das zwingend notwendig war, wenn die beiden voranstehenden posts deine ersten in diesem forum sind?

sorry noch mal für OT!


sondersonde
 

amoniAK-47

New Member
Weil das alte Board ne Hammer Lücke hatte, ach ja was ich damals auch sagte.

amoniAK-47 hat ein unsicheres PW, er sollte das unbedingt ändern ;)

mfg hoohead
 

hoohead

New Member
Das war ich. :D

Im Zuge des sicher machens eures Boardes, möchte ich euch noch ein paar Tipps mit auf den Weg geben.

1. WBB Updates. Mit dem Aufspielen der Updates, könnt Ihr eigentlich von der Seite aus, was machbar ist, schon sehr viel tun.
Durch die Updates werden oft SQL Injection, oder XSS Lücken gestopft.

Trotzdem ist das wbb leider anfällig, was Angriffe angeht und da es einer der meist verbreitesten Forensoftware ist, leider auch Hauptangriffsziel vieler "Hacker".

2. Sichere PW: Ein Angreifer wird niemals das PW des Benutzers bekommen, sondern immer nur den MD5 Hash.
MD5 ist ein relativ sicheres Verschlüsselungsverfahren, wenn man ein paar Dinge beachtet.
PW von mindestens 10 Zeichen. Groß, Kleinbuchstaben und Sonderzeichen verwenden und dabei achten, dass keine Wörterbuchpw verwendet werden.

3. ACP schützen: Euer ACP ist immer noch nicht geschützt. Ich würde vorschlagen, einen htaccess einzubauen HTACCESS


4. Postings mit Links mit vorsicht genießen.
Eine gängige Methode, an Passworthashes zu kommen, ist das XSS (Cross Site Scripting).
Dabei wird mittels JavaScript, das Cookie ausgelesen und einer Variable übergeben. Auf der Angreiferseite, kann zwar das Cookie nicht ausgelesen werden, aber die Variable.
Die Admins sollten sich (sofern sie Firefox benutzen), folgendes Plugin installieren und bei Links den Button drücken (sperrt Cookies).
Plugin Download

Das wars soweit.
Hoffe ich konnte ein wenig helfen.
 
Oben