« phishen will gelernt sein [UPDATE]
laptop [update] »

webseiten-sicherheit [update]

Published
by
harddisk
on Oktober 10, 2007
in news and tech
. Tags: , , , .

nachdem heute bereits die hauptseite der GDL opfer eines hacks geworden ist, bin ich einfach mal auf die seite der jugendorganisation gegangen und auf gut glück über die Links gehovert. dabei fiel mir ein link “signal-iduna” unter der rubrik “partner” auf:

http://www.gdl-jugend.de/phpkit/include.php?src=..//signal-iduna/index.htm&PHPKITSID=1577f9f0bede7e677d4f10070f2aaffd

ja, ganz richtig. dieses ding lädt ein iframe mit der url des parameters src!

erstmal damit wikipedia aufgerufen:

http://www.gdl-jugend.de/phpkit/include.php?src=http://de.wikipedia.org

Leak 1

dann is mir eingefallen: vielleicht könnte dieses phpkit ja auch von anderen webseiten benutzt werden?

eine suche mit google förderte tatsächlich was zu tage, unter anderem diesen treffer:

[PDF]
NEWSLETTER
Dateiformat: PDF/Adobe Acrobat - HTML-Version
Katzen. Diese verkauft Sie im Flohmarkt und auf Bestellung: http://www.luna-. hilfe.de/phpkit/include.php?path=forum/showthread.php&threadid=1116 …
www.luna-cat.de/newsletter/nl5-07.pdf - Ähnliche Seiten - Notieren

Also die URL

http://www.luna-hilfe.de/phpkit/include.php?src=http://de.wikipedia.org

aufgerufen, e voila:

Leak 2

ich werde dann mal den admin der GDL-jugend, der katzenseite und die macher von phpkit anschreiben…hoffentlich ist diese lücke bald behoben.

UPDATE:

Javascript scheint auch zu funktionieren:

http://www.gdl-jugend.de/phpkit/include.php?src=javascript:window.alert(parent.document.location);

2 Responses to “webseiten-sicherheit [update]”

Feed for this Entry Trackback Address
  1. 1 PHPKIT Webmaster
    Okt 11th, 2007 at 5:34 am

    Diesen Hinweis habe ich auch dankend erhalten.

    Es ist dabei allerdings zu berücksichtigen, dass auf der Webseite, die hier als Beispiel fungiert, PHPKIT in der Version 1.6.1 verwendet. Uns als “Macher” des Programms ist bewusst, dass es mit dieser Version und allen davor zu Sicherheitproblematiken kam. Alle uns bekannten Problematiken, die mit der Verwendung von 1.6.1 und 1.6.03 aufgetreten sind (XSS, Absicherung der Formulare, Spam-Schutz etc.) haben wir auf den aktuellen Stand der Absicherug gebracht und dieses notwendige Update als PHPKIT-1.6.4 pl1 als aktuelle Version veröffentlicht.

    Des Weiteren haben wir die Downloadpakete für ältere PHPKIT-Versionen auf unserer Webseite zum Download belassen, warnen allerdings Benutzer und klären Sie darüber auf, dass diese sich bei der Installation und Verwendung älterer PHPKIT-Versionen bewusst einem Sicherheitsrisiko aussetzen.

  2. 2 harddisk
    Okt 11th, 2007 at 4:15 pm

    Vielen Dank für Ihre prompte Antwort auch per Mail!

    Herzliche Grüße,

    Marco Schuster

Comments are currently closed.
« phishen will gelernt sein [UPDATE]
laptop [update] »

hard.blog is Digg proof thanks to caching by WP Super Cache!