Cookies
Die Cookies und persönliche Daten beim beenden vom FF öfters löschen, und beim arbeiten im Backend nicht unbedingt auf "fragwürdigen" Seiten surfen. Falls es einem merkwürdig vorkommt, ausm Backend ausloggen, Browser schliessen, Browser neustarten und neu anmelden im BE. Wenn ich es richtig verstanden habe, geht es dadrum an die sessionid eines Users zu kommen.
Ja und wenn ich so den Wiki lese, fällt mir auf den ersten Blick eine einstellung im JCE ein. Allow JavaScript: registred. --->ändern -->SuperAdmin.
Prohibed Elements: applet,javascript,embed,src,`,',´,^,%,|,$,¦,iframe ,js,bat,pif,msi,object,param,exe,remote
IFramePlugin ---> Administrator
CopyPaste CodeCleanUp total, alles raus. Normales CopyPaste dann nicht mehr möglich, es wird nur noch der reine Text eingefügt. Bilder, Spans, etc werden automatisch entfernt.
EDIT:Es macht auch keinen Sinn, dass registrierte auf den Editor zugreifen können, da Sie ja sowiso nicht zum Schreiben berechtigt sind: ----> alles auf Author.
JCE erst ab Spezial zulassen und alle! Plugins bei denen es möglich ist auf Author stellen.
Vielen Dank für Eure Zeit und Grüsschen aus der Schweiz. pcte.ch Webservices
Man kann einen Menschen nichts lehren, man kann ihm nur helfen, es in sich selbst zu entdecken.. (Galileo Galilei)
Joomla Grundlagen schon gelesen?
Lücke in CMS Joomla ermöglicht Hinzufügen von Admin-Konten
Betreiber eines auf Joomla beruhenden Content-Managements-Systems sollten bei der Wartung des Systems in der nächsten Zeit ein wenig vorsichtiger sein. Für eine seit Dezember bekannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ist eine Demo aufgetaucht, die vorführt, wie man über eine präparierte Webseite einen Super Admin zu Joomla hinzufügt. Ein Angreifer könnte speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite ansurft, die den speziellen Code enthält.
Anzeige
Die Sicherheitslücke ist seit dem 27. Dezember öffentlich bekannt und wurde in Version 1.5 RC4 bereits Mitte Dezember – neben zwei anderen CSRF-Schwachstellen – geschlossen. In Version 1.0.13 ist die Lücke indes noch nicht geschlossen. Die Entwickler sollen allerdings an einem Update arbeiten.
Bis dahin sollten Anwender bei der Arbeit im CMS keine weiteren Browserfenster öffnen. Allerdings reicht es Berichten zufolge nicht aus, dass Fenster nach der Arbeit im CMS zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.
Quelle: http://www.heise.de/newsticker/meldung/101671
Bereits bekannt.
http://www.joomlaportal.de/sicherhei...versionen.html
nun ich denke doch mal das ausserdem die 1.0.14
demnächst ansteht wird ja schon seid Tagen ein paar Sachen gefixt...
http://joomlacode.org/gf/project/joo.../releases/1.0/
gruezi ...
kann einer sagen, ob diese sache generell zutrifft, wenn ein user im front-/backend angemeldet ist oder nur, wenn jemand mit admin-rechten angemeldet ist?
gruss
nick
UPDATE! 1.0.14RC1 veröffentlicht
UPDATE! 1.0.14RC1 veröffentlicht
http://www.joomla.org/content/view/4446/1/
ACHTUNG! 1.0.14RC1 NICHT AUF PRODUKTIV SEITEN EINSETZEN°
Laut Post auf joomla.org soll dieses Release zum TESTEN der Fixes verwendet werden!
Sollten Fehler entdeckt werden, so unter folgendem Link diese posten:
http://joomlacode.org/gf/project/joo...racker_id=5782
Die Empfehlung:
Testen auf NICHT Produktiv verwendeten Seiten!
Dieses Release behebt neben kleineren Bugfixes folgende Sicherheitslücken:
SECURITY [LOW] Fixed XSS issue in com_search
SECURITY [LOW] Fixed XSS issue in search results pages
SECURITY [LOW] Fixed multiple typos in back end com_content making array integer check ineffective
SECURITY [HIGH] Fixed CSRF issue allowing portal compromise - Administrator components.
Update Tutorial:
http://docs.joomla.org/Upgrading_to_1.0.14_RC1
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Komponente: com_newsletter
Version: keine angegeben
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
#####################################
Komponente: com_fq
Version: keine angegeben
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
#####################################
Komponente: com_mamml
Version: keine angegeben
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
Geändert von rickkp (30.01.2008 um 11:28 Uhr) Grund: nicht drei Thread, einer reicht, danke
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Exploit: Sicherheitswarnung - Glossary V2.0 - com_musepoes - com_buslicense
Komponente: com_glossary
Version: V2.0
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
#####################################
Komponente: com_musepoes
Version: keine angegeben
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
#####################################
Komponente: com_buslicense
Version: keine angegeben
Exploit: Remote SQL Injection Exploit
Quelle: Milw0rm
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen