FAP schlecht programmiert?

[Christian_N]

Hallo,
laut das blog eintrag von cback (http://www.blog.cback.de/?cat=10) denk ich mal das FAP sei schlecht programmiert.

1. Im Hauptordner liegt die Datei album_nuffload.php - jetzt ist aber in diese Datei nicht

Code: Alles auswählen

define(’IN_PHPBB’, true);
$phpbb_root_path = ‘./’;
include($phpbb_root_path . ‘extension.inc’);
include($phpbb_root_path . ‘common.’.$phpEx);

wie die normalerweissen anfangen sollen im Hauptordner im gegenteil es fängt mit

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}

an, somit ist es doch eher eine wie cback es schön nannte Peripheriedatei die eigentlich für den include ordner sein sollte, oder sehe ich es falsch?

2. Dann auch die Datei album_pclzip_lib.php hat den oben genannte code wie eigentlich eine Datei anfangen sollte im Hauptverzeichnis garnicht noch nicht mal fängt sie mit dem 2. code an die in include ordner sind.

Diese fängt eher so an:

Code: Alles auswählen

	// ----- Constants
	define( 'PCLZIP_READ_BLOCK_SIZE', 2048 );
	
	// ----- File list separator
	// In version 1.x of PclZip, the separator for file list is a space
	// (which is not a very smart choice, specifically for windows paths !).
	// A better separator should be a comma (,). This constant gives you the
	// abilty to change that.
	// However notice that changing this value, may have impact on existing
	// scripts, using space separated filenames.
	// Recommanded values for compatibility with older versions :
	//define( 'PCLZIP_SEPARATOR', ' ' );
	// Recommanded values for smart separation of filenames.
	define( 'PCLZIP_SEPARATOR', ',' );

.
.
.
	define( 'PCLZIP_ERR_USER_ABORTED', 2 );
	define( 'PCLZIP_ERR_NO_ERROR', 0 );
	define( 'PCLZIP_ERR_WRITE_OPEN_FAIL', -1 );
	define( 'PCLZIP_ERR_READ_OPEN_FAIL', -2 );
	define( 'PCLZIP_ERR_INVALID_PARAMETER', -3 );
	define( 'PCLZIP_ERR_MISSING_FILE', -4 );

Denk mal da sollte auch sicher laut des Blog eintrag aus Sicherheitsgründe dies am anfang stehn

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}

und dann sollte die Datei auch denk ich mal im Ordner include/ liegen, oder?

3. Desweitere die Datei album_showpage.php fängt etwas im Hauptordner anders an, jetzt bin ich mir nicht sicher ob die trotzdem so sicher ist? Ggf. fall für cback.

Code: Alles auswählen

if( isset($HTTP_GET_VARS['mode']) && $HTTP_GET_VARS['mode'] == 'smilies' )
{
	define('IN_PHPBB', true);
	$phpbb_root_path = './';
	include($phpbb_root_path . 'extension.inc');
	include($phpbb_root_path . 'common.' . $phpEx);
	include($phpbb_root_path . 'album_mod/clown_album_functions.' . $phpEx);

	generate_smilies_album('window', PAGE_ALBUM_PICTURE);
	exit;
}

define('IN_PHPBB', true);
$phpbb_root_path = './';
$album_root_path = $phpbb_root_path . 'album_mod/';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.' . $phpEx);
include($phpbb_root_path . 'includes/functions_validate.' . $phpEx);

Alle andere Dateien von FAP im Hauptordner entsprechen sonst den Eintrag von oben wie laut Blog es sein soll.

Wäre gut wenn das jem. sich mal anschauen kann und mir genau sagen kann ob es wirklich schlecht ist so oder ob ich ruhig schlafen kann und es keine sicherheitslücke darstellt?

Schonmal recht herzlichen Dank.

Gruß Chris

[oxpus]

1. Die Datei kenne ich nicht, ist es eine Erweiterung des Albums, die ich nicht verwende. Aber sobald die "nur" includiert wird, MUSS auch hier die Konstante geprüft werden.
Dabei ist es egal, ob die Datei im includes-Ordner liegt oder nicht.

2. Da diese Datei, soweit ich es jetzt beurteilen kann, NUR Konstanten enthält, ist der Schutz nicht wirklich nötig, schadet aber auch nicht.

3. Das ist okay so. Der erste Block ist schliesslich nur für das Smilies-Popup da. Wird es angezeigt, ist das Script auch schon beendet.

[Christian_N]

Danke erstmal, also die Datei ist auch nicht im normale Album sonder im Full Album Pack aktuelle version dabei.

1. Also kann die im Hauptordner liegen bleiben ist jedenfalls sicher mit dem code?

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
 {
  die("Hacking attempt");
 }

2. Ja in diese wird nur solche define(); ausgeführt, wenn Schutz aber nicht schadet welche den erste oder den 2te mit dem hacking?

3. Danke dann hat sich die erledigt.

[oxpus]

1. Ja das ist so richtig.
2. Der mit dem Hacking attempt.
3. Bitte sehr.

[Christian_N]

Oki dann scheint wohl im Hauptordner schonmal alle Dateien richtig programmiert und geschützt zu sein, selbst meine bio wird mit dem common.php von erste code geschützt dann mal die im include ordner prüfen nun

[cback]

Zur Konstantendatei:
Schut besser rein. Die kb_constants.php zeigt, dass gelegentlich in solche Dateien auch mal gerne Sachen eingesetzt werden die angreifbar sind. Hab jetzt die komplette Datei nicht vorliegen, aber setz if(!defined('IN_PHPBB'))... rein, dann kann Dir nichts passieren.


Orion hat nach dem neuen Sicherheitskonzept die Konstantenprüfung in JEDER einzubindenden Datei. Sogar im emailer.php smtp.php sessions.php functions.php etc. die normal durch reine funktionen nicht angreifbar sind, aber man kennt ja einige schlechte MODs. Desweiteren sind seit dem ersten Package von Orion die momentan als angreifbar deklarierte Datei admin_db_utilities.php vom phpBB 2.0.20 gar nicht dabei und die Adminmodule der Hacks List auch nicht.


(BTW: Ich würd mal sagen keine Panik zu dem Gerücht der angreifbaren phpBB 2.0.20 Datei admin_db_utilities.php, es war jedenfalls das erste Wurmscript was das Board kalt lies Ich schätze also da besteht nur in den seltensten Konstellationen eine Gefahr, sicherheitshalber aber mal die Datei entfernen bis 2.0.21 klarheit bringt. )


Ich muss damals wohl ne Vorahnung gehabt haben, weil des seit dem Orion 2.x Release im Oktober 2005 so is.

[AmigaLink]

Die admin_db_utilities.php war bei mir schon immer die erste Datei die geflogen ist. Die ist IMHO eh vollkommen nutzlos, da man bei gemodeten oder größeren Boards damit sowieso nicht Arbeiten kann.

[cback]

[quote="AmigaLink";p="60266"]Die admin_db_utilities.php war bei mir schon immer die erste Datei die geflogen ist. Die ist IMHO eh vollkommen nutzlos, da man bei gemodeten oder größeren Boards damit sowieso nicht Arbeiten kann. [/quote]

Genau und selbst mit dem Full DB Backup eine täuschende Sicherheit... "Ich habn Backup gemacht." - Klar, das schon, aber es läuft hinterher nicht mehr wenn es ne gewisse KB Zahl überschreitet...

Und eben aus diesem Grund habe ich beim Orion 2 Release standardmäßig die integrierten DB Utilities entfernt und rate in Dokumentation immer zum www.mysqldumper.de - der ist für jeden leicht zu verstehen und macht wirklich hervorragende Backups. Ich setze auf CBACK.de / CBACK.net kein anderes Tool mehr für DB Backup ein. (Sogar auf das zuvor Shell Basierte Backupsystem hab ich verzichtet, kommt nich an den Dumper ran.).

[oxpus]

Frage:
Was ist admin_db_utilities.php überhaupt ? *duck*

[Christian_N]

Eine Datei die sowas von sinnlos ist das die seit ich phpBB installiert hab runtergeflogen ist *gg*
Zumindeste bei die Test-Seite bei der momentanen hatte ich die total vergessen zu löschen, naja hab ich jetzt getan, hab eh keine verwendung dafür

EDIT: War mal so frei und hab mal bei Orion im include Ordner reingeschaut und hab bei mir im includes Ordner jetzt auch jede Datei die dort drin liegt mit "Hacking attempt" geschützt.

Und in der eine Album Datei es auf empfehlung von oxpus/cback dann auch reingesetzt, somit dürfte ich mit phpBB 2.0.20, CrackerTracker 4.1.4 und AVC 1.1.0 sicher sein erstmal wieder hoff ich zumindeste.

[oxpus]

Ja, solange zumindest weitere Lücken entdeckt werden.
Ich glaube nie, daß ich ein sicheres Board habe, bis es abgeschaltet wird

[Christian_N]

klar bis das nächste gefunden wird, deshalb auch erstmal des komplett sichere Board, wo nie wieder was getan werden müsste, wird wohl niemanden von uns haben