| anpera.net https://anpera.homeip.net/phpbb3/ |
|
| Weitere Sicherheitslücken https://anpera.homeip.net/phpbb3/viewtopic.php?f=34&t=2381 |
Seite 1 von 1 |
| Autor: | Eliwood [ Mo 20 Mär, 2006 19:45 ] |
| Betreff des Beitrags: | Weitere Sicherheitslücken |
Nach der Sache mit dem Geschlecht hat mir das ganze mit den Formularen keine Ruhe gelassen. Und, wie ich gedacht habe, sind mir weitere Sicherheitslücken wie Schuppen von den Augen gefallen. Bisher sind die gefundenen nicht gravierend, aber wer weiss, was sich sonst noch finden lässt: Formulare sind böse! Bitte, wenn ihr ein Formular braucht, nehmt niemals hidden-Felder, Radio-Buttons oder Markierkästchen, sondern versteckt die Infos schön in den Sessions. Warum? Ganz einfach. Mit dem richtigen Wissen kann man zum Beispiel beim Kommentare hinzufügen einfach das Formular ebenso manipulieren - Und plötzlich erscheinen Kommentare von nem Wildfremden Bauernjungchen in der Superuser-Grotte. Wie das ganze geht, erkläre ich nicht. Wer es wissen möchte, soll ne PN schreiben, doch gebe ich nur bekannten Personen darüber Auskunft, denen ich wirklich sowas anvertrauen kann. In der Hoffnung, keine weiteren Lücken zu finden, Eliwood. |
|
| Autor: | Chaosmaker [ Mo 20 Mär, 2006 20:03 ] |
| Betreff des Beitrags: | |
Och keine Angst, mindestens bei 0.9.7 gibts noch einen extrem gravierenden, mit dem man so richtig viel zerschießen kann. |
|
| Autor: | Eliwood [ Mo 20 Mär, 2006 20:33 ] |
| Betreff des Beitrags: | |
Chaosmaker hat geschrieben: Och keine Angst, mindestens bei 0.9.7 gibts noch einen extrem gravierenden, mit dem man so richtig viel zerschießen kann.
Jetzt hab ich Angst 
Mit den kleinen Lücken, die ich find, kann man besten Falls Spass haben, aber dass es so ne Lücke gibt? 
|
|
| Autor: | Auric [ Mo 20 Mär, 2006 23:22 ] |
| Betreff des Beitrags: | |
...Daily Backup... "Sicher" ict nix, was irgendwie am Netz klemmt... aber wer regelmäßig backups erstellt, ist deutlich besser dran! Und Sicherheitslücken gibt es immer und überall. |
|
| Autor: | Devilzimti [ Di 21 Mär, 2006 06:47 ] |
| Betreff des Beitrags: | |
javascript: getelementbyid().value= "" 
Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP |
|
| Autor: | Auric [ Di 21 Mär, 2006 14:40 ] |
| Betreff des Beitrags: | |
Devilzimti hat geschrieben: Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP
Wie das? Ok - wenn jemand das Commentary Feld auf "Text" ändert ja, aber sansonsten ist ja von MySQL eine fixe anzahl von Zeichen vorgeschrieben, die maximal eingegeben werden kann...
|
|
| Autor: | Kevz [ Di 21 Mär, 2006 15:11 ] |
| Betreff des Beitrags: | |
Desweiteren kann man ja so ziemlich alles Filtern, wenn man dran denkt von d.h. ist doch schon fast alles sicher.
|
|
| Autor: | Eliwood [ Di 21 Mär, 2006 17:29 ] |
| Betreff des Beitrags: | |
Auric hat geschrieben: Devilzimti hat geschrieben: Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP Wie das? Ok - wenn jemand das Commentary Feld auf "Text" ändert ja, aber sansonsten ist ja von MySQL eine fixe anzahl von Zeichen vorgeschrieben, die maximal eingegeben werden kann...Es sei denn, man ändert das Feld auf Text und vergisst, mit PHP das ganze zu Begrenzen 
Stimmt doch, Devil *g* Meine schöne Kneipe da voll schreiben
Und so kann man sich davor schützen: [php]$commentary = addslashes(stripslashes(substr($commentary,0,500)));[/php] |
|
| Autor: | Auric [ Di 21 Mär, 2006 18:22 ] |
| Betreff des Beitrags: | |
Eliwood hat geschrieben: Es sei denn, man ändert das Feld auf Text und vergisst, mit PHP das ganze zu Begrenzen
Dann ist man auch selber Shculd: Wer keine Ahnung von HTML, PHP & MySQL hat kann eben nicht den "Perfekten Server" haben, auch wenn das viele mit Gewalt übersehen wollen! |
|
| Seite 1 von 1 | Alle Zeiten sind UTC + 1 Stunde |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|