Forum


Suchen Forum RSS RSS2 SuchenSuchen Mitgliederliste Mitgliederliste RegistrierenRegistrieren ProfilProfil Login


Info: Der Forenbetrieb wurde leider eingestellt.

Gehe zu: » Forum » Bugs und Vorschläge » Sicherheitslücke bei Kontaktformularen

Seite: 1

Thema
Autor
Sicherheitslücke bei Kontaktformularen
Beitrag von maikjacobi am: 16.04.2007 20:22:02

Hallo,

ich habe eine große Sicherheitslücke bei ihren Kontaktformularen gefunden.
Bekanntermaßen werden Bots ja anhand des Quelltextes von Kontaktformularen, News, GBs etc. programmiert.

Aus ihrem Quelltext ist klar ersichtlich, dass es vollkommen ausreicht, einen x-beliebigen Key einmal in 3*Base64 verschlüsselter Form
und einmal im Klartext an das Kontaktformular zu senden, damit eine Mail verschickt wird.
Ein Bot kann somit leicht für ihre Kontaktformulare geschrieben werden.
Um das zu verdeutlichen habe ich da mal was vorbereitet:
http://www.aniverse.de/keinschutz.rar

Das Script macht folgendes:
Es schickt als CODE das Wort "test".
Und als XPAS das Wort "test" in 3*Base64 verschlüsselter Form.
Und schon kann es seinen Müll abladen.
Das Captcha juckt es dabei überhaupt nicht.
Ich empfinde das als eine große Sicherheitslücke.
Ich denke das es so von ihnen nicht geplant war.
Der Ansatz war aber schon ziemlich gut.

Gesetz den Fall, man kennt nicht das Rezept (3*Base64) zum Verschlüsseln und Entschlüsseln, dann würde das Prinzip 100%ig funktionieren.
Also fügen wir dem Rezept einfach noch eine Zutat dabei, und verbergen diese.
Somit wird man vielleicht dann nahe ans Rezept ran kommen,
aber es wird nie für die richtige Verschlüsselung und Entschlüsselung reichen.

Also habe ich es so gemacht, das beim ersten Aufruf des Kontaktformulars eine Datei mit dem Namen "config_kontakt_pas.php" erzeugt wird, in der sich ein generierter Zufalls Key befindet.
Dies ist dann die neue Zutat.
Mit Hilfe von MCRYPT und diesem Key wird dann noch zusätzlich verschlüsselt und entschlüsselt.
Und da man nie weiß, welcher Key auf dem Server erzeugt wurde, also die Zutat verborgen bleibt, kann man auch keinen Bot dafür schreiben.

Die Ergänzung/Modifikation des Scripts findet man hier:
http://www.aniverse.de/kontakt-script-v-3-1-lite_mod.rar
Diese Modifikation benötigt PHP mit MCRYPT.
Beseitigt aber genannte Sicherheitslücke.

MFG

Maik


maikjacobi
Benutzer

Beiträge: 1
OFF PN Schicken Homepage
AW: Sicherheitslücke bei Kontaktformularen
Beitrag von PAS am: 17.04.2007 08:02:27

Hallo,
erstmal danke für deine ausführliche Dokumentation per E-Mail und auch so.
Das aktuelle Captcha war falsch durchdacht, ich werde mich heute (bin zzt. in der Schule) daran setzen und die entsprechenden Dateien aktualisieren, erstmal ein großes Danke, das Sie den ersten Exploit für mein Script gefunden haben . Scripte/Programme können niemals perfekt sein, siehe z.B. die ServicePacks von Microsoft. Daher ist es erfreulich, dass sich jemand auch meldet und mir die Lücke mitteilt. Aber ehrlich gesagt hatte ich es nicht erwartet das ein Bot für mein Captcha programmiert werden würde...

Gruss Patrick

Editiert am 17.04.2007 15:53:18 von PAS.



PAS
Administrator


Beiträge: 762
OFF PN Schicken Homepage
AW: Sicherheitslücke bei Kontaktformularen
Beitrag von PAS am: 17.04.2007 17:38:29

Habe nun den Captcha Codeschnipsel und das Kontaktscript geupdatet, habe jedoch das automatische erstellen der Configfile gelassen und ein anderes crypt Verfahren verwendet......
Hoffe das mit den Vermek ist so OK?

Greetz


PAS
Administrator


Beiträge: 762
OFF PN Schicken Homepage

Seite: 1



Statistik
Statistik
Es wurden insgesamt 3838 Beiträge geschrieben.
Wir haben 11066 registrierte Mitglieder.
Der neueste Benutzer ist laustralianorth - Forum Beta³ - Bug melden