Warnung vor chCounter – Sicherheitslücke

16. April 2009 Kategorie: Internet, geschrieben von:

Den beliebten chCounter zur Statistikerhebung setze ich hier mir kurzen Unterbrechungen bereits fast dreieinhalb Jahre ein. Doch er hat eine Sicherheitslücke die es jedem ermöglicht in das Administrationsinterface zu kommen. Begebt euch einfach auf eure Login-Seite des chCounters und gebt als Benutzernamen und Passwort einmal „or ‚='“ (ohne meine Anführungszeichen ein).

Hier mal ein Screenshot meines Blognachbarn Tim:

chCounter - Administration - Einstellungen.jpg

Darauf aufmerksam gemacht hat mich Lainux. So, nun zur Abhilfe.

Öffnet in eurem Unterordner includes des Counters die Datei functions.inc.php.

functions1.jpg

Sucht die Zeile mit dem Text chC_login und fügt folgende Zeile darunter ein:

$name=mysql_real_escape_string($name);

Sieht dann so aus:

functions2.jpg

Für die Lösung dürft ihr euch bei Dirk Vorderstraße bedanken – der hat das „mal eben“ während eines kleinen Chats gelöst.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25427 Artikel geschrieben.