ThWboard Support-Forum (Archiv)

Ort: / Boardübersicht / Archiv / massig xss vulns

Seite 1 von 1

Tendor schrieb am 24.03.2003 um 22:32 Uhr

hi nochmal,
in der boardsoftware wimmelt es leider nur so von xss vulns :/

z.B. wird keine der in templates verwendeten variablen vor benutzung initialisiert.
( forum/index.php?CONTENT=blub )

Kleiner Tipp:
error_reporting(E_ALL);
in der header.inc.php hilft beim finden :D

gruß
tendor
---------
edit:
viele der probleme gäbe es nicht, wenn ihr _GET, _POST, etc. richtig verwendet würdet. anstatt

if( !empty($_REQUEST) )
    extract($_REQUEST);

ich hoffe 2.9 setzt dieses sinnvolle sicherheitskonzept richtig um!

MrNase schrieb am 24.03.2003 um 23:06 Uhr

...vielleicht mit deiner Hilfe?

Tendor schrieb am 24.03.2003 um 23:16 Uhr

wie meinst du das?
sie zu finden ist ja nicht das problem (mit E_ALL)
zum selber beheben und bei cvs uploaden, müsste ich mich erstmal in cvs einarbeiten, den coding-style beachten. etc.
zudem ist die umstellung auf _GET, _POST etc. gar nicht so wenig arbeit, und erfordert gute kenntnisse der software (welche parameter werden wo und wie übergeben...)
sorry, aber dazu hab ich etwas wenig zeit, zur zeit.
ich beschränke mich erstmal aufs bugsposten. :)

MrNase schrieb am 24.03.2003 um 23:21 Uhr

ist ja auch ne Hilfe... obwohl du die Bugs besser per PM an einen der Admins posten solltest damit hier keine Details bekannt werden... wäre besser...

Tendor schrieb am 24.03.2003 um 23:32 Uhr

darüber kann man streiten...mal ein paar argumente fürs posten:

1. hat so wenigstens ein aufmerksamer admin die möglichkeit, die bugs per hand zu fixen.
2. erhöht es den druck auf die entwickler die bugs zu fixen
3. erhöht es die vorsicht bei den usern
(wenn ein link komisch aussieht, erstmal genau anschauen vorm klicken!)

man muss natürlich nicht gleich fertige exlpoits posten
aber wenigstens beschreiben wo er auftritt (damit 1. gilt)

prinzipiell gebe ich dir aber recht, bei wirklich akuten sicherheitslücken ist eine pm angebrachter :)

Jonas schrieb am 25.03.2003 um 15:24 Uhr

die ich ja auch bekommen habe ;)

danke fuer dein intensives bugfinding, ich werde die bugs an die entwickler weiterleiten

MrNase schrieb am 25.03.2003 um 15:58 Uhr

suppi... das thwboard wird immer besser! :) danke!

Luki schrieb am 31.03.2003 um 22:05 Uhr

+++ endlich mal ein neuer Bugjäger :)
Danke für die ganzen Hinweise!

bei diesen Bugs sollte man echt überlegen, ob man da eine Zwischenversion einwirft oder auf jeden Fall mit Hochdruck an Bugfixes arbeitet!

momentan ist das Bugfixen ja noch etwas im Winterschlaf!

keep movin!!

Tendor schrieb am 31.03.2003 um 22:24 Uhr

Hi L.
>+++ endlich mal ein neuer Bugjäger :)
*g*

>bei diesen Bugs sollte man echt überlegen, ob man da eine Zwischenversion >einwirft oder auf jeden Fall mit Hochdruck an Bugfixes arbeitet!
stimmt. langsam übersteigt die bugliste die feature liste :P
ich würde erstmal ein feature-freeze machen, alle bugs fixen, vom
extract($_REQUEST); wegkommen und den code so umschreiben, dass er mit error_reporting(E_ALL); ohne meldung läuft.

ansonsten besteht meiner meinung nach die gefahr, dass der einst unter insidern gute ruf vom thwb schwindet!

gruß
tendor

theDon schrieb am 01.04.2003 um 00:02 Uhr

ich bin gerade dabei, das für mein thwbcms ohne extract($_REQUEST) zum laufen zu kriegen.

Jonas schrieb am 01.04.2003 um 16:21 Uhr

das problem ist nur, dass die meisten thwb entwickler nicht viel zeit haben (bt beim bund, dp und ttt machen abi, nur superhausi findet immer wieder nen bisschen zeit).
intern habe ich alles soweit angestossen, moechte den devs auch net ihr abi versauen durch wiederholen der aufforderung :D

MAGIX schrieb am 01.04.2003 um 17:31 Uhr

Wäre es denn generell möglich die dev gruppe zu vergrössern mit 2 oder 3 Mann die mit Engagement und Ressourcen und dem nötigen Know How dabei sind ? Ich denk da gerade an Hackschreiber wie Narodnaja oder Curson. Wenn sie wollenn heisst es :)

Bluetooth schrieb am 01.04.2003 um 17:52 Uhr

Das gesamte Team umfasst zur Zeit 7 Personen, von denen 5 Personen cvs-Zugriff haben.
Das Team noch weiter zu vergrößern würde zur Unübersichtlichkeit führen.
Denn im Prinzip sind wir alle mit Engagement usw. dabei, aber es gibt Phasen (wie in jeden Projekt) da ist weniger los.

theDon schrieb am 01.04.2003 um 19:11 Uhr

evtl wäre es gut, ein kleines team einfach nur auf bugfixing anzusetzten. am besten mit einem zweiten cvs branch, wo jeweils die bugfreieste version drin ist.

SyntaxError schrieb am 01.04.2003 um 20:17 Uhr

und wer überträgt dann die änderungen auf den haupt cvs branch?

Ich schließe mich Tendor an, jetzt sollte man erstmal alle Bug beseitigen und keine neuen Funktionen einbauen und möglichst schnell ein Release. Bin auch breit beim Umstieg auf $_GET[''] und $_POST[''] zu helfen. Aber man müßte mir schon sagen, was ich genau machen soll, weil ich habe keine Lust etwas doppelt zu machen.

Luki schrieb am 02.04.2003 um 23:28 Uhr

okay bin auch für Bugfix Release allerdings bitte gleich mit neuen Templates die CSS verwenden und massig traffic sparen (damit man die nicht beim nächsten Realease wieder komplett anpassen muss!)

Bluetooth schrieb am 03.04.2003 um 01:36 Uhr

L. das wäre dann wieder kein Bugfix Release ;)

Luki schrieb am 06.04.2003 um 15:00 Uhr

naja eine Kombination wäre halt das beste...

btw. siehe http://www.thwboard.de/forum/showtopic.php?threadid=4288

Seite 1 von 1