Hallo,

ich habe gerade auf heise folgendes gelesen:

phpBB-Mods und tinyBB mit Löchern: http://www.heise.de/newsticker/meldung/73656

Ist das in irgendeiner Form auch für VB relevant?

Grüße.

Nein, da es ein vBulletin und kein phpBB oder tinyBB ist ;)

Nein, da es ein vBulletin und kein phpBB oder tinyBB ist ;)

Nun ja, aber tinyBB scheint ja auf VB auzusetzen, oder habe ich das was falsch verstanden?

Viele Grüße.

tinyBB ist ein eigenständiges Forum und hat nichts mit vBulletin zu tun :)

Nimm mir das nicht übel, wenn ich das schreibe, aber die Lücken, die dort beschrieben sind, sind alles "Anfängerfehler".

Wenn du auf deinem Webspace register_globals angeschaltet hast, und die URL http://example.net/index.php?password=1234 aufrufst, kannst du im Script automatisch die Variable $password verwenden, diese wird von PHP gesetzt.
Nehmen wir folgendes Script an:if ($password == '1234') {
$login = 1;
}Theoretisch müsste jetzt das Passwort richtig sein, damit die Variable $login auf 1 gesetzt wird. Was kann man jetzt natürlich auch machen? Genau, die URL http://example.net/index.php?login=1 aufrufen, und schon ist man eingeloggt, ohne, dass man das Passwort eingeben musste. Das liegt einzig und allein daran, dass die Variable $login vor der Überprüfung nicht auf einen definierten Status gesetzt wurde.

Somit muss man entweder register_globals abschalten, oder man scriptet ordentlich, und setzt alle Variablen auf einen definierten Zustand, bevor man sie verwendet.

Viele Grüße,
Stefan