Dadie. Du hast wirklich KEINE AHNUNG.
Schonmal was von Cross-Site Scripting gehört?
Das ermöglicht das Auslesen von Cookies der User indem man sie z.B. dazu bringt auf einen Link zu klicken.
Somit wird der Code innerhalb der Secure-Area des Servers ausgeführt.
Ausserdem, es ist einfach einen MD5-Hash zu "knacken".
Und IIRC reicht es beim vB aus, wenn man die Session-Cookies übernimmt und bei sich reinschreibt, schon ist man drin.
Und du weißt, das Foren-Passwörter != System-Passwörter?
Das Passwort des FTP-Users ist in der /etc/shadow gespeichert, da kommt man garnicht dran wenn man nicht root ist.
Also ist es selbst dann unmöglich, wenn eine Command Execution Lücke im vB bestehen würde, gut, man könnte sich hier natürlich einen Local-Root-Exploit besorgen und diesen dann ausführen, aber das halte ich für unwahrscheinlich da momentan keine Cmd Execs in vB 3.5 bekannt sind. Was sich aber auch leicht behindern lässt indem man den Apache einfach in einem Chroot laufen lässt.
Und wenn das so passiert wäre, wären hier sicher nicht nur ein paar Useraccounts kompromittiert worden.
Alles in allem redest du totalen Schwachsinn, dadie. Informier dich lieber erstmal richtig, versteh es und rede DANN weiter über solche Themen.
Dein dummes Gelaber bringt wirklich garnichts.
- codec
