Jump to content
InvisionCommunity.de - Der Deutsche Invision Community Support
Sign in to follow this  
Followers 0
Tuppa

Ipboard 3.4.7 vuln!!!! HTML form without CSRF protection

By Tuppa, in IP.Board 3 - Allgemeine Fragen und Probleme

Recommended Posts

Tuppa    1

Tuppa
Posted

Ich habe auf Acuentix auf einen ipboard 3.4.7 laufen lassen und es wurde eine Vuln gefunden! die als sehr hohes Risikorfaktor eingestuft wurde.

 

 

Wie kann man das Problem fixxen!? Es wird nirgendswo beschrieben und ihr als ipb support solltet doch mehr darüber wissen.

 

 

 

HIGH RISK
HTML form without CSRF protection (Wie fixxen?)

 

Vulnerability description
Cross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that the website trusts.

Acunetix WVS found a HTML form with no apparent CSRF protection implemented. Consult details for more information about the affected HTML form.
Affected items


The impact of this vulnerability
------------------------------------
An attacker may force the users of a web application to execute actions of the attacker''s choosing. A successful CSRF exploit can compromise end user data and operation in case of normal user. If the targeted end user is the administrator account, this can compromise the entire web application.

 

 

 

Ich bin auch bereit eventuell ne gebühr zu zahlen um mir mal zu zeigen wie man Ipb richtig absichert und prüft ob alle updates auch wirklich installiert worden sind.

 

Auch kann ich bei der neuen IPB version kein HTML Deaktivieren oder ist es schon automatisch?

Share this post

Link to post

Helge    192

Helge
Posted

Eventuelle Sicherheitsprobleme müssen natürlich direkt an die Entwickler gemeldet werden.

 

Zur vereinfachten Kommunikation per Ticket im Kundenbereich.

 

Auch kann ich bei der neuen IPB version kein HTML Deaktivieren oder ist es schon automatisch?

HTML kann man natürlich für spezielle Gruppen in den Gruppenberechtigungen ("Global" TAB) deaktivieren - dort unter dem Punkt "Can post HTML?".

 

Nur kurz noch etwas Grundsätzliches als Wink mit dem Zaunpfahl:

 

Nichts wird so heiß gegessen wie es gekocht wird ;)

Share this post

Link to post

Tuppa    1

Tuppa
Posted

Das Lustige ist noch das ich euch gewarnt habe so wie den IPB entwicklern undh abe die lücke endeckt wurde ja ignoriert jetzt vor 2 tagen kam ein security fix nicht mal ein Danke bekomme ich!

 

 

IPB ist schrott und habe wieder ne SQL Blind gefunden

Sebijk reacted to this

Share this post

Link to post

nguru    3

nguru
Posted

 

 

Toll jetzt wurde er wieder hacked tolle support seid ihr ja!!!

 

Es gibt zig Systeme welche über eine kurze oder längere Zeitspanne eine Sicherheitslücke aufweisen. Deshalb wird man nicht automatisch Opfer eines Angriffs. Wenn du schreibst "wieder" solltest du dir eher mal die Frage stellen warum immer bei dir? Das sicherste System schützt dich nicht, wenn beispielsweise dein Hosting nicht entsprechend sicher aufgerüstet ist.

 

Bevor man zudem den Support kritisiert, sollte man die Eigeninitiative in Betracht ziehen. Wenn du schon so Panik schiebst, hättest du ja dein Forum kurzzeitig offline stellen können. Aber klar andere und dessen Arbeit zu kritisieren ist immer einfacher ;)

 

Helge wie auch IPB selbst leisten einen tollen Job und ich bin der Überzeugung das die meisten das genau so sehen.

 

 

 

IPB ist schrott und habe wieder ne SQL Blind gefunden

 

Wenn ich etwas Schrott finde um es in deinen Worten auszudrücken, ziehe ich eine andere Lösung vor und renne nicht in Communitys um alles schlecht zu reden ;)

Helge reacted to this

Share this post

Link to post

Tuppa    1

Tuppa
Posted

 

 

 

Toll jetzt wurde er wieder hacked tolle support seid ihr ja!!!

 

Es gibt zig Systeme welche über eine kurze oder längere Zeitspanne eine Sicherheitslücke aufweisen. Deshalb wird man nicht automatisch Opfer eines Angriffs. Wenn du schreibst "wieder" solltest du dir eher mal die Frage stellen warum immer bei dir? Das sicherste System schützt dich nicht, wenn beispielsweise dein Hosting nicht entsprechend sicher aufgerüstet ist.

 

Bevor man zudem den Support kritisiert, sollte man die Eigeninitiative in Betracht ziehen. Wenn du schon so Panik schiebst, hättest du ja dein Forum kurzzeitig offline stellen können. Aber klar andere und dessen Arbeit zu kritisieren ist immer einfacher ;)

 

Helge wie auch IPB selbst leisten einen tollen Job und ich bin der Überzeugung das die meisten das genau so sehen.

 

 

 

IPB ist schrott und habe wieder ne SQL Blind gefunden

 

Wenn ich etwas Schrott finde um es in deinen Worten auszudrücken, ziehe ich eine andere Lösung vor und renne nicht in Communitys um alles schlecht zu reden ;)

 

 

 

 

Wenn du etwas ahnung davon hättest wüsstest du das IPB wieder ein Security FIX den user zu verfügung gestellt hat und rarte mal wer IPB darauf hingewiesen hat?

 

 

Ich habe euch gewarnt schon tage vor dem Security fix und jetzt heisst es ich renne um alles schlecht zu reden?

 

Share this post

Link to post

Tuppa    1

Tuppa
Posted

Übrigens seit ihr doch der IPBSUPPORt in deutsch und habt nicht mal das Security fix veröffentlich die vor 4 tagen von den IPB entwicklern zur update gestellt wurde

 

 

Traurig!!!

Share this post

Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  
Followers 0
Go To Topic Listing IP.Board 3 - Allgemeine Fragen und Probleme
×