chCounter Bugfix - Cross-Site Scripting and SQL Injection

Die Meldung ist nicht mehr taufrisch, aber immer noch aktuell.

In meinem Lieblings Statistik Tool chCounter sind mehrere Sicherheitslücken gefunden worden.
Betroffen ist der Loginbereich durch eine nicht abgesicherte Eingabe im Login Formular, welche Cross Site Scripting(XSS) und SQL-Injection erlaubt.

Ansich ist das nur eine Kleinigkeit, ein Flüchtigkeitsfehler des Entwicklers. Schlimm daran ist aber,
das von Seiten des Projektbetreibers bisher kein Bugfix dafür bereitgestellt wurde. Nun kurzum, wer
wie ich das Script schon längere Zeit in Benutzung hat, will natürlich nicht alle bisherigen Daten verlieren
bei einem Wechsel zu einem anderen Script.

Zuerst einmal geklärt was ist überhaupt der Fehler: Laut secunia.com handelt es sich um 2 Fehler in 1. Die Variable $_POST['login_name'] kann für Cross Side Scripting(XSS) und SQL-Injection missbraucht werden. Die XSS Lücke ist übrigens bereits seit 2007 bekannt ...

Wie kann man die Fehler nun beheben? Dazu habe ich mir die Mühe gemacht und einen inoffiziellen Patch für chCounter 3.1.3 zusammengestellt. Dieser Patch bietet:

- Behebung der SQL-Injection Lücke im Loginbereich
- Globale Absicherung von $_POST und $_GET gegen XSS Attacken
- Erkennung von Google Chrome Browsern
- MOD/Anleitung für die Integration in phpBB3 Foren
- parse_url() Warnung bei fehlerhaften URLs im Referrer behoben (Administration->Logdaten)

captcha
Um Spam vorzubeugen geben Sie bitte den nebenstehenden Code in das Feld ein:       Code nicht lesbar? Dann hier klicken!
  
:-) ;) :cheesy: :D :cool: :zzz: :angry: :cry: :finger: :gaehn: :razz: :rolleyes: :sad: :shocked: :uhoh: :vogel: :wand :gun: :motz: :confuse: :type:
Name & Homepage merken (Cookies nötig!)

Kategorien

Autoren

Die neuesten Kommentare

nicolas: Kann ich wieder einmal ein bisschen spielen ...

Multi Pagerank: Ich habe auch einen kleinen Webservice erstellt mit dem man sich den Pagerank seiner Unterseiten anzeigen lassen kann. Im vergleich zu dem Russischen Tool braucht man bei dem Webservice auch keine Sit...

tropicofvector: Mit Abstand der BESTE PHP Hit Counter, den ich JEMALS ausprobiert habe. Und das waren einige...     ...

Fireball ist eine echte Alternative: Suche seit einiger Zeit nur noch auf Fireball....

xray: Hoi Psy Ist eine Funktion, findest Du im Blog in der Datei admin/header.php...

Archiv

2010
Februar (2)
Januar (1)
2009
November (1)
August (1)
Juli (4)
Juni (8)
Mai (2)
April (4)
März (4)
Februar (5)

Zufallsartikel