Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden Impressum 
Sie können sich hier anmelden
Dieses Thema hat 0 Antworten
und wurde 250 mal aufgerufen
 Bunny-NEWS
tabs Offline

Ultimatives KacknasenBunny


Beiträge: 1.005

17.11.2011 18:04
GWChars-Sicherheitslücke Zitat · antworten

Da die netten GW-Chars-Menschen das ja ganz fix wieder rausgenommen haben, hier nochmal für alle, die's verpasst haben, die Newsmeldung, die infolge eines Fremdzugriffes auf GW-Chars kurzzeitig zu lesen war:



Zitat von GW-Chars-Fremdzugriff
Von GWChars und anderen GAU’s
Wir alle kennen sie, wir alle lieben sie: GWChars. Wen freut es nicht hier die Errungenschaften und Lebensgeschichten seiner mächtigen Charactere zu veröffentlichen, gefakete Titel anzuzeigen, um sein Ego zu stärken und die daraus folgenden alltäglichen Pinnwand-Flames, welche die hiesige Userschaft so knuffig macht.
Jedoch hat das schillernd bunte Äußere auch eine dunkle Seite. Lange Zeit schon sind uns Sicherheitslücken bekannt, doch anstatt diese zu beheben kümmern wir uns lieber darum nicht-öffentlich nutzbare MouseOver-Codes einzubauen, um uns von den "Normalos" abzuheben. Jedem das Seine, jedoch wird Eitelkeit dann problematisch, wenn sensible Daten in Gefahr sind. Beispielsweise wurde der Administration vor ca. zwei Jahren bekannt gemacht, dass eine XSS-Sicherheitslücke auf unserer Seite existiert, über die man die LogIn-Daten eines jeden Benutzers bekommen kann, wenn dieser nur auf einen unscheinbaren Link klickt. Natürlich gab niemals eine entsprechende News, dass man eventuell auch seine Daten ändern sollte. Das käme ja einem Schuldeingeständnis gleich :o
Nun ist es an der Zeit eine durchaus interessantere Sicherheitslücke offen zu legen bei der es möglich ist an JEDE e-Mail und JEDEN Passwort-Hash eines JEDEN Users zu kommen. Man gehe auf die Benutzersuche, gebe dort folgendes ein und drücke Enter:

Pakuna' AND password LIKE '%2d697c



Wer ein wenig mit AutoIt versiert ist findet hier ein kleines Skript was die Arbeit automatisch erledigt.

Auf die einzelnen Elemente der Anfrage wird nicht weiter eingegangen, jeder der über „SQL-Injection“ Bescheid weiß, kann das Ergebnis interpretieren und wer über das „handwerkliche“ Know-How verfügt hat fix 32-stellige MD5-Hexadezimal-Hashes zur Hand, die je nach Entschlüsselungsverfahren und Passwort-Stärke, sehr schnell in Klartext bereit liegen. Was Cracker mit Eurem GWC-Passwort anfangen können, sei ganz Eurer Phantasie überlassen. Vor Jahren hat ein gut organisiertes und technisch versiertes Team es geschafft sich die gesamte Datenbank zu Eigen zu machen und zum größten Teil entschlüsselt:

*klick*

Einige Eurer Passwörter sind wirklich niedlich: "geheim" "hitler" "yami1234" "fussball" und die nicht nur auf dem GWC-Acc, sondern ÜBERALL im Internet zu verwenden ist grob fahrlässig.
Mit etwas Glück haben einige von Euch hiermit nur einen Schuss vor den Bug verpasst bekommen, andere hingegen verloren sowohl Wertsachen, als auch tausende Spielstunden in Form von Characteren oder gar Accounts. In 2 Monaten intensiven Beschäftigens mit der Seite lernt man mehr über Computer-Sicherheit, als beim bloßen Vertrauen auf die Meinung irgendwelcher "Experten". Geht sorgsam mit Euren Daten um und nutzt nicht nur rein alphanumerische Passwörter.





Ich kann verstehen, daß sie die Details da nicht stehen haben wollen, aber es wäre doch nett gewesen, das wenigstens durch ein "Whooooooops we got hacked someone's got your passwords kthxbai" zu ersetzen...

____________________________

“Feminism is a socialist, anti-family, political movement that encourages women to leave their husbands, kill their children, practice witchcraft, destroy capitalism and become lesbians.”

 Sprung  
Xobor Forum Software von Xobor
Einfach ein eigenes Forum erstellen