OneForum - Eigenes Forum programmiert

**OneTemplates** · 10. 01. 2012, 16:54

Hi,

hab ein eigenes kleines Forum erstellt, hierzu würde ich mich über euer Feedback freuen

http://www.onetemplates.de

Das OneForum ist ein freies und leicht anpassbares Forum
geschrieben in PHP, das eine MySQL Datenbank zur Speicherung
verwendet. Es wurde neben Stabilität viel Wert auf Sicherheit
gelegt. Es ist durch seinen klaren Aufbau sehr gering im
Speicherverbrauch und läuft mit hoher Geschwindigkeit.

Es bietet:

User Profil
PM System
Admin / Mod Bereich
Spam Protection
Captcha & IP-Lock
BBCode & Smileys
RSS Feeds
Newssystem
Ankündigungen
User bearbeiten / sperren
E-Mail verifizierung
Admin Benachrichtigungen
Kontakte
Statistiken
InfoBox
Counter
User Liste
Suchfunktion
Meine Beiträge
Moderatoren
Passwort vergessen / ändern
Anzeige Views / Beiträge in einem Thema
...

Viel Spaß!
OneForum - Team

**Kugelfisch23** · 10. 01. 2012, 17:34

Zitat von OneTemplates

Es wurde neben Stabilität viel Wert auf Sicherheit gelegt.

Allerdings offenbar ohne grossen Erfolg: Mindestens die unter http://www.onetemplates.de/demo/ zu findende Demo-Version weist diverse kritische Schwachstellen auf, welche zudem so offensichtlich sind, dass sie jeder mit sehr geringen Kenntnissen innerhalb von Minuten finden und ausnutzen kann.

Bei einer sehr oberflächlichen Betrachtung sind mir aufgefallen:

SQL-Injection: http://www.onetemplates.de/demo/topi...3,4,5%20--%20c
SQL-Injection: http://www.onetemplates.de/demo/cate...1,2,3%20--%20c
XSS: Im Homepage-Profilfeld lässt sich ein beliebiger URI, insbesondere auch ein javascript-URI eintragen (vgl. Profil des Benutzers Test). Der JS-Code wird dadurch im Kontext deiner Site ausgeführt, wenn jemand den Homepage-Link anklickt.
XSS: Im Über-Mich-Profilfeld lässt sich offenbar beliebiger (X)HTML-Code nutzen, welcher anschliessend jedem Profilbesucher ausgeliefert wird. Eventuell enthaltener JS-Code wird im Kontext deiner Site ausgeführt.

Diese und vergleichbare Schwachstellen solltest du unbedingt beheben, bevor du deine Boardsoftware öffentlich zugänglich machst. Schliesslich ermöglichen sie die Übernahme fremder Benutzerkonten, den Zugriff auf sensible Daten, ...

**StaTiC** · 11. 01. 2012, 22:42

wenn ich jemals einen Sohn zeugen sollte nenn ich ihn kugelfisch.

ansonsten was zeichnet deine Software gegenüber der etablierten Konkurrenz aus?

**Rakshasa** · 12. 01. 2012, 00:21

Zitat von StaTiC

wenn ich jemals einen Sohn zeugen sollte nenn ich ihn kugelfisch.

Passt Doch auch zu einem Mädchen?!

**Roin** · 12. 01. 2012, 14:20

Ich arbeite gerade auch (hauptsächlich zum lernen) an einem eigenen Forum.
Beim Ansehen deiner Demo ist mir aufgefallen, dass selbst die Teile, die nicht durch einen User-Eintrag entstehen nicht valide sind. Dies versuche ich bei mir dennoch zu gewährleisten. Solltest du eventuell auch tun ;-)

Es sind zwar viele CMS, insbesondere Forensoftware selten valide (bzw. erzeugen valides (X)HTML, denoch wäre es wünschenwert.