Sicherheitslücke in vB Versionen bis 3.8.5 ermöglicht gleichnamige Benutzer

**MBR** · 05.09.2010, 22:12

Zitat von Ramses

Wenn sich jemand mit deinem Benutzernamen registriert und dann noch das &#00 anhängt sind es theoretisch 7 Zeichen.
Und wenn es nicht die zusätzlichen Zeichen mitzählt ist es ja dennoch möglich alle anderen registrierten Benutzer zu kopieren, das würde diese nicht erfreuen.

Ja, da hast Du wohl recht ... mir ging es jetzt erstmal vorrangig um den Admin.
Naja, ich hab die RegExp vorsorglich eingefügt.
Das war aber doch mal per default drin, wenn ich mich recht erinnere?

**SeToY** · 05.09.2010, 23:41

Zitat von pogo

Passiert bei mir in deinem Forum nicht.

Habe einen User erstellt und permanent gesperrt, nachdem ich die "is valid" meldung bekommen hatte

Ich bekam auf jeden fall die "is valid and not in use" message, und konnte damit einen account registieren.
Der hieß dann auch "SeToY&#00", nicht "SeToY"

**pogo** · 06.09.2010, 10:06

Nochmal....wär dein Forum anfällig, hättest du zwei Benutzer namens SeToY gehabt.

**SeToY** · 06.09.2010, 13:41

Das ist mir bewusst, darum gehts mir aber auch garnicht ;P

Ich frage mich nur, warum das Forum hier bei s.molinari&#00 ein "is invalid" rauswirft, und bei mir (VOR(!) der registrierung) ein "is valid".

Nun lautet er natürlich "is invalid", da ich einen Account registriert habe. Das gleiche geht auch mit GameFreak&#00 (ein Mod), sowie Mordekay&#00.
Bei allen Kombinationen sagt mein Board "is valid" (erstellt dann auch "GameFreak&#00", nicht "GameFreak"), hier jedoch "is invalid".

Auch z.B. bei "pogo&#00"

**Onur** · 06.09.2010, 13:58

vielleicht weil man hier die Offiziellen in der Badwordliste für Benutzernamen führt?

ein pogooooo, oder daPogo z.b. wird nicht aktzeptiert
hingegen P0G0 schon

außerdem scheint die # aus den erlaubten Buchstaben ausgeschlossen zu sein

**Mystics** · 06.09.2010, 14:40

Unsere Benutzernamen sind schon immer ausgeschlossen und "&#" war es auch für kurze Zeit. Aber da nur Versionen unter 3.8.6 anfällig sind, habe ich das wieder rückgängig gemacht.

**Ramses** · 18.11.2010, 23:34

^[a-zA-Z0-9_.-öäüÖÄÜß\s]+$
Seitdem ich das drin habe kann man keine Benutzernamen mit Bindestrich mehr registrieren, was muss man da ändern? Danke.

**Onur** · 19.11.2010, 08:47

versuch es mal mit

Code:

^[a-zA-Z0-9_\.\-öäüÖÄÜß\s]+$

(beim punkt bin ich mir nicht sicher ob der nicht auch ein \ braucht)

**Ramses** · 28.11.2010, 19:16

Zitat von Onur

versuch es mal mit

Code:

^[a-zA-Z0-9_\.\-öäüÖÄÜß\s]+$

(beim punkt bin ich mir nicht sicher ob der nicht auch ein \ braucht)

Danke dir, werds mal so probieren.

Thema: Sicherheitslücke in vB Versionen bis 3.8.5 ermöglicht gleichnamige Benutzer

Themen-Optionen

Thema bewerten

Anzeige

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Sicherheitslücke!!!

Sicherheitslücke?

Sicherheitslücke im vB 3.0.1

Lesezeichen

Lesezeichen

Berechtigungen