EchtkPvL
Active Member
Guten Abend alle zusammen,
vorab einige Meta-Daten.
die benutzte Version: 0.11.0-8e5f1a2
das Betriebssystem: Debian 8.10
verwendete Hardware: vServer, 2 Kerne des "Intel(R) Xeon(R) CPU E5-2620 v2 @ 2.10GHz", 2GB RAM
freier Speicher: ~1,5GB RAM, ausreichend HDD
Ich habe herausgefunden, dass der SinusBot in der Standard-Konfiguration (IsProxied = false) den Header "X-Forwarded-For" auswertet und verwendet. Desweiteren wird dieser Wert nicht validiert und 1:1 geloggt was dazu führt, dass es möglich ist jeden beliebigen Wert zu verwenden. Ich habe einen kleinen Auszug als Screenshot diesem Post angehängt.
Proof:
Viele Grüße
Jonas
PS: Da der SinusBot bei mir ohnehin hinter einem Nginx läuft habe ich jetzt als QuickFix den "ListenHost" in der Konfig auf 127.0.0.1 gesetzt.
vorab einige Meta-Daten.
die benutzte Version: 0.11.0-8e5f1a2
das Betriebssystem: Debian 8.10
verwendete Hardware: vServer, 2 Kerne des "Intel(R) Xeon(R) CPU E5-2620 v2 @ 2.10GHz", 2GB RAM
freier Speicher: ~1,5GB RAM, ausreichend HDD
Ich habe herausgefunden, dass der SinusBot in der Standard-Konfiguration (IsProxied = false) den Header "X-Forwarded-For" auswertet und verwendet. Desweiteren wird dieser Wert nicht validiert und 1:1 geloggt was dazu führt, dass es möglich ist jeden beliebigen Wert zu verwenden. Ich habe einen kleinen Auszug als Screenshot diesem Post angehängt.
Proof:
curl 'http://<URL oder IP einfügen>/api/v1/bot/login' -H 'Content-Type: application/json' -H 'X-Forwarded-For: 123.456.789.nginx.0' --data-binary '{"username":"unknown","password":"unwichtig","botId":"<botID einfügen>"}'Viele Grüße
Jonas
PS: Da der SinusBot bei mir ohnehin hinter einem Nginx läuft habe ich jetzt als QuickFix den "ListenHost" in der Konfig auf 127.0.0.1 gesetzt.
