# sicherheitslücke im blascrafter



## Herkuhles (1. November 2007)

so nachdem ich eben von Buffey angeblafft worden bin



> ich sags auch gern zum hundertsten mal *seufz*
> 
> ICH BIN KEIN BUFFED MITARBEITER!!!!!!!!!!!!!!!!!!!!
> 
> ...



ich mein ok sry das ich dich damit belästigt habe in hoffnung du leitest es schnellsmöglich an deinen "arbeitgeber" weiter wobei das wohl auch wiederum zuviel verlangt ist 


geschickt hatte ich ihr in etwa folgendes :



> es ist laut gerüchten zufolge möglich mithilfe des blascrafters fremde pcs zu infizieren und somit das dann zu benutzen um denen accounts zu hacken.
> 
> das gerücht besagt das man sich auf nem emurealm nen item erstellen kann mit einem html code anstelle eines namens das dann bei aufrufen des items auf www.buffed.de ein popup öffnet das ein xss oder ein <script> enthalten kann.
> 
> keine ahnung ob das gerücht auf tatsachen basiert aber laut der leute die dies entdeckt haben funktioniert das.



ich finde es eine schweinerei wenn man in hoffnunng auf schnellere hilfe sich an einen admin wendet und der dann nichts besseres zu tun hat als sich dann auch noch zu beschweren das man ihm soetwas schickt was wenn es der wahrheit entspricht den untergang der community bedeuten könnte bei der er tätig ist!


/edit


auch wenn ich nun infolge dieses postings gebannt werde oder was auch immer ist es mir egal! der account diente eh nur dazu da um auf diese sicherheitslücke aufmerksam zu machen!


/edit 2



> Nix für ungut, aber Alisami erzählt Blödsinn. Wir wissen uns schon gegen XSS-Attacken abzusichern. Ein Item mit HTML-Inhalten wird von unserem Einlese-Skript gefiltert. Ich bin mir da ziemlich sicher, da trotz einiger Schutz-Mechanismen doch immer mal ein PServer-Item in unsere Datenbank rutscht, das dann von Hand entfernt werden muss. Ein Item mit HTML-Code wär mir da sicher aufgefallen.



nunja er sagt es sei sicher gibt aber zu das es nicht unmöglich ist!


----------



## LittleFay (2. November 2007)

Herkuhles schrieb:


> so nachdem ich eben von Buffey angeblafft worden bin
> ...
> ich mein ok sry das ich dich damit belästigt habe in hoffnung du leitest es schnellsmöglich an deinen "arbeitgeber" weiter wobei das wohl auch wiederum zuviel verlangt ist
> ...
> ich finde es eine schweinerei wenn man in hoffnunng auf schnellere hilfe sich an einen admin wendet und der dann nichts besseres zu tun hat als sich dann auch noch zu beschweren das man ihm soetwas schickt was wenn es der wahrheit entspricht den untergang der community bedeuten könnte bei der er tätig ist!


Du kannst aber schon lesen, oder? Buffey hat in ihrem Profil stehen, dass sie !!KEIN!! Buffed-Mitarbeiter ist. Sie kriegt wahrscheinlich noch viele viele viele andere Nachrichten von Spielern, die das auch überlesen haben. Meinst du, sie leitet alle diese Nachrichten weiter? Ich würde das nicht tun. Sie hat dir geschrieben, an welche Adresse du dich mit dem "Problem" wenden kannst. Ob es nun wichtig ist oder nicht, ne Extrawurst gibt's nunmal nicht. Also reg dich hier nicht künstlich auf und wende dich an die richtige Stelle, da wird dir auch geantwortet. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Ach ja: *Ein paar Kommata für dich da lass*


----------



## ZAM (2. November 2007)

LittleFay schrieb:


> Meinst du, sie leitet alle diese Nachrichten weiter?



Ja tut sie *g*


----------



## ZAM (2. November 2007)

> auch wenn ich nun infolge dieses postings gebannt werde oder was auch immer ist es mir egal! der account diente eh nur dazu da um auf diese sicherheitslücke aufmerksam zu machen!



Eine eventuelle Reaktion darauf hast du bereits selbst verfasst:



> nunja er sagt es sei sicher gibt aber zu das es nicht unmöglich ist!


----------



## LittleFay (2. November 2007)

ZAM schrieb:


> Ja tut sie *g*


Hihi, na denn war die Aufregung eh umsonst. *g*
Find seine Reaktion trotzdem dreist. So. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Herkuhles (2. November 2007)

LittleFay schrieb:


> Ach ja: *Ein paar Kommata für dich da lass*




*packt die kommatas zwischen ne semmel*

hier kannste ham -.-

*ist interpunktion scheißegal da im netz sowieso 95% unterbelichtete rumschwirren*


----------



## LittleFay (2. November 2007)

Herkuhles schrieb:


> *ist interpunktion scheißegal da im netz sowieso 95% unterbelichtete rumschwirren*


Könnte aber förderlich für die Lesbarkeit deiner Posts sein, so dass die Leser diesen nicht drei Mal lesen müssen um ihn zu verstehen.


----------



## Herkuhles (2. November 2007)

wenn die leute unbedingt wissen wollen was ich schreibe lesen sie es auch. den anderen ist es eh egal was ich schreibe.


btw nen post aus ner cheat community 



> Und was die "FTP Daten von der 23. Buffed-Datenbank" sein sollen weiß ich nicht. Klingt für mich irgendwie ausgedacht. Es gibt mit Sicherheit keine FTP-Zugänge zu unserer Datenbank.
> 
> Marcel Anacker - Mitarbeiter buffed.de



darauf die antwort von einem regsitrierten user der community 



> Sicher
> 
> 
> Deswegen geht ja ftp://buffed.de/ nicht... NATÜRLICH HABT IHR FTP! Sonst hätte ich wohl kaum unter dem Namen Alisami mit der ID 679 SChreibrechte beim FTP, ne?




jeder mag denken was er will xD


----------



## ZAM (3. November 2007)

Natürlich haben wir nen FTP-Server, was glaubst du woher die Daten für das Tool kommen und hingehen? Aber er hat da weder Schreibrechte, noch hat der auch nur im entferntesten was mit Datenbanken zu tun. *seufz*


----------



## LittleFay (3. November 2007)

Das ist doch bestimmt alles eine große Verschwörung 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Herkuhles (3. November 2007)

LittleFay schrieb:


> Das ist doch bestimmt alles eine große Verschwörung
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.




ich wills irgendwo hoffen den der blascrafter ist ein verdammt geiles tool. bis sich die sachlage aber gelichtet hat (und blizzard aufhört leuten zu sagen das dieses tool schuld dran sei an den acc hacks) werde ich mich wieder trauen es anzumachen xD


hab jetzt schon mehrere beiträge gelesen in denen leute !behaupten! das blizzard mitarbeiter den blascrafter verwantwortlich für hacks gemacht haben. das behauptet mal hervorgehoben da ich keinen mitschnitt des telefonats habe und daher nicht sagen kann obs wahr ist xD


----------



## bdix (3. November 2007)

Herkuhles schrieb:


> ich wills irgendwo hoffen den der blascrafter ist ein verdammt geiles tool. bis sich die sachlage aber gelichtet hat (und blizzard aufhört leuten zu sagen das dieses tool schuld dran sei an den acc hacks) werde ich mich wieder trauen es anzumachen xD
> hab jetzt schon mehrere beiträge gelesen in denen leute !behaupten! das blizzard mitarbeiter den blascrafter verwantwortlich für hacks gemacht haben. das behauptet mal hervorgehoben da ich keinen mitschnitt des telefonats habe und daher nicht sagen kann obs wahr ist xD


Eine Behauptung kann jeder schnell aufstellen.
Aus meiner beruflichen Erfahrung als Mitarbeiter eines PC-Geschäftes, kann ich dir nur sagen, dass du viel heiße Luft erzählst. Ich bekomme von den Kunden auch immer zu hören, was und wer nicht alles schuld sei, dass ihr PC nicht mehr richtig funktioniert.

Was soll ich sagen: Viren, Würmer und Trojaner - diese zu entfernen, das ist unsere Hauptbeschäftigung bei den "Reparaturarbeiten"! Und diese werden auch bei den Leuten, denen der Account gehackt wird die Ursache sein. Natürlich MUSS ein Schuldiger gefunden werden (hier stellvertretend der BLASCrafter), weil die meisten Leute ihren eigenen Aussagen zur Folge NIE schädlich Software drauf haben. Der Spitzenreiter hatte übrigens ca. 3100 Funde bei unseren "Reparaturarbeiten"

Ich nutz den BLASCrafter seid er existiert, hab einen vernünftigen Virenschutz, die Firewall von der FritzBox und Spybot S&D - und - ich hatte bisher noch keine Probleme mit Account hacking. Herkuhles, kannst ja weiterhin deiner Paranoia frönen - buffed, euer Tool ist i.O. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Tikume (3. November 2007)

bdix schrieb:


> Ich bekomme von den Kunden auch immer zu hören, was und wer nicht alles schuld sei, dass ihr PC nicht mehr richtig funktioniert.



Davon kann ich auch ein Lied singen.

"Meine Website geht nicht, ihr Server hat ein Problem!"
*nachguck* www.blabla989.de Verwendungsart: Weiterleitung auf http://www.blabla989.de 
*Kopf auf Tisch hau*


----------



## ZAM (3. November 2007)

Ich zweifel auch den Wahrheitsgehalt dieses Profilierungsversuches an, weil der Delinquent nichtmal so simple Dinge wie Tool und Addon unterscheiden kann. Lesen und nachblabbern ist natürlich schnell mal gemacht. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------

