Folgendes Post beschreibt, wie es möglich ist nahezu (bis vollständig) alle Bilder einer Präsenz auszulesen. Da ich dies für eine schwere Sicherheitslücke halte poste ich das mal einfach hier um das Problem zur Diskussion zu stellen.
Welche Versionen davon betroffen sind kann ich nicht sagen. Getestet wurde es mit einigen großen Installationen die im Web gefunden wurden. Ob dies mit allen Installationen möglich ist kann ich nicht sagen, es wird aber meinerseits stark vermutet.
Ich könnte hier auch ein fertiges Script posten habe jedoch wegen der Mißbrauchsgefahr hiervon abgesehen.
Folgende FunktionsweiseSchauen wir uns als erstes die URLs der Vorschaubildchen an. Die sind in folgendes Muster-Format
./thumbnails/XXX/bild.jpg vorbei die XXX für eine Zahl steht. Schauen wir uns das passende Vollbild dazu an sieht die URL wie folgt aus:
./media/XXX/bild.jpg. Hier läßt sich relativ einfach erschliessen wie man mit Kenntnis des Pfades eines Vorschaubildes und eines Vollbildes einer Installation alle Vollbilder erreichen kann, wenn man die URL ihrer Vorschaubilder kennt. Man ersetzte infach in der URL des Vorschaubildes das
thumbnails durch
media.
Dies betrifft die Installationen bei den Vorschaubilder öffentlich zugänglich angezeigt werden, aber das Vollbild erst nach einem erfolgreichen Login zugänglich sein sollen.
Die unter
http://www.4homepages.de/forum/index.php?topic=9216.0 vorgestellte Lösung zum Schutz des Verzeichnisses ist Unfug, da sich der Referer beliebig fälschen läßt.
Desweiteren ist es aber möglich auch die Bilder von versteckten Galerien auszulesen. Dies wird möglich da es möglich ist sich alle Bilder eines Benutzer anzeigen zu lassen. Hier werden auch Vorschaubilder aus den versteckten Galerien angezeigt. Somit ist es möglich über oben erklärte URL-Manipulation auf die entsprechenden Vollbilder zuzugreifen.
Um die Bilder eines Nutzers anzuzeigen benötigt man aber den Benutzernamen desselbigen. Dieser läßt sich relativ einfach ermitteln da die UserIDs fortlaufende Zahlen sind. D.h. wir schreiben eine Schleife in welcher wir die URL
./memberprofil.php?action=showprofile&user_id=$ID von 0 aufsteigend aufrufen und in den zurückgegebenen Seiten nach einem Benutzernamen suchen. Diesen fügen wir wiederum in die URL
/search.php?search_user=$USERNAME ein und erhalten damit alle Vorschaubildchen, welche wir nach oben genannter URL-Manipulation auslesen können.
Warum ich das hier poste? Schon einmal habe ich mich per E-Mail an den Support mit einer anderne Lücke gewandt, die leider nie beantwortet wurde. Ich mache nun auf diese Lücke aufmerksam, da es sicher viele User gibt die dem System blind vertrauen. Dieses Post soll keine abwertende Kritik an 4Images sein, sondern helfen das Produkt weiter zu verbessern.
