Pagina 1 van 1
phpBB3 Phishing
Geplaatst: 03 aug 2008, 13:08
door Aquarezz
Ik zou iedereen van phpBB aanraden dit bericht te lezen:
http://forums.digitalpoint.com/showthre ... ost8728328
Eignlijk best erg... zou phpBB er iets kunnen aan doen?
Greetz
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 13:21
door Bee
Dit is onzin, want wachtwoorden kunnen in phpBB 2 en 3 niet teruggecodeerd worden
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 13:30
door Tom V
Ik gok dat het premodded forum waarover hij spreekt, gewoon de phpBB3 hashing weglaat bij registeren en gewoon het wachtwoord unhashed invoert.
Natuurlijk is het dan kinderspel.
Een 2de mogelijkheid om wachtwoorden te "kraken" op een bestaand board is ook heel simpel, de hashing erin laten en bij login checken of het wachtwoord juist is, en het unhashed wachtwoord in een ander veld invoeren (vb. password_clean).
Maar beide keren moet er dus FTP access verworven krijgen en aanpassing van bestanden.
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 13:30
door Jim
Inderdaad, deze persoon wil waarschijnlijk gewoon geld verdienen met een script dat niet werkt voor een normaal phpBB3 forum.
Niks om je zorgen over te maken dus.
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 13:42
door Tom V
Aangezien het wachtwoord van de admin er staat, even backup gemaakt van zijn board
:
Een deel van de sql:
Code: Selecteer alles
CREATE TABLE `phpbb_users` (
`username` varchar(255) collate utf8_bin NOT NULL default '',
`username_clean` varchar(255) collate utf8_bin NOT NULL default '',
`user_password` varchar(40) collate utf8_bin NOT NULL default '')
Op zich niets speciaal MAAR
Code: Selecteer alles
INSERT INTO phpbb_users
(username, username_clean, user_password, user_passchg, user_pass_convert)
VALUES
('harshit', 'harshit', 'raulz123')
Op een gewoon board is dit:
Code: Selecteer alles
INSERT INTO phpbb_users
(username, username_clean, user_password, user_passchg, user_pass_convert)
VALUES
('harshit', 'harshit', '$H$9zr2pr9RrKNmY.wOU.U76ZmcuV53B4.')
Mijn vermoeden was dus juist, de hashing is gewoon weg gelaten en het wachtwoord zo te lezen.
Op die manier is elke open source software "onveilig".
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 18:40
door marian0810
De link doet het niet?
Invalid Thread specified. If you followed a valid link, please notify the administrator
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 18:42
door Mid
Klopt; dat viel mij ook al op.
Re: phpBB3 Phishing
Geplaatst: 03 aug 2008, 18:52
door Jim
Waarschijnlijk is het topic verwijderd door een moderator aangezien dit soort dingen daar tegen de forumregels zijn. ^^
Re: phpBB3 Phishing
Geplaatst: 04 aug 2008, 11:38
door Pascal
kinderachtig zeg...