anpera.net
https://anpera.homeip.net/phpbb3/

HTML schwachstelle in den Bios.
https://anpera.homeip.net/phpbb3/viewtopic.php?f=34&t=4614		 Seite 1 von 2
Autor:  Dwyn [ So 20 Jul, 2008 02:34 ]
Betreff des Beitrags:  HTML schwachstelle in den Bios.
Jaa guten tag die Damen und herren :)
ich bin mal wieder da mit einem kleinen Problem, und zwar hatte ich bis heute (wie viele andere auch) HTML in den Bios erlaubt. Nur allerdings wurd mir erst heut bewusst, das es eine sehr derbe schwachsetlle ist (nachdem mein neuer mod sich mal mit meinem char eingeloggt hat wärhend ich on war ö.Ö

ich will jetzt auch nicht zu viel ausplaudern und womöglich noch eine Anleitung zumm logd server hacken schreiben.

Aber sagen wir es mal so man kann es unterbinden, indem man das ';' in den Bios Sperrt.
aber wie macht man das?

da bin ich überfragt. Ich hatte versucht einfach die Bio in ein If zu stecken, das die Bio ausblendet, sobald ein Symikolon in der Bio vorhanden ist.. und ja dadran bin ich auch dann leider schon gescheitert.

Hat jemand eien idee wie man ein If formulieren könnte, das es eingreift, wenn in der variable "bio" ein ; auftaucht?

if(strpos($row[bio],";")<1){
bio
}else{
warnung
}
geht nicht ^^

ich bin da echt total überfragt.. das problem ist, ich hätet gern weiter html in den Bios, würde aber auch ungern ne große schwachstelle behalten^^.

btw Ennfach nur bestimmte html tags zulassen funktionietr nicht, da der "Hackcode" auf einem simplen
<img src="
und mit onload erweitert wurde.

und naja.. bilder sollte man schon in die bio tun können.. naja ist meine meinung ... :9

vielleicht habt irh ja eine idee ich bin vollkommen überfragt.
Autor:  Arath [ So 20 Jul, 2008 03:12 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Du kannst es ja mal mit preg_match versuchen ;)

Irgendwie so *gg* dieser Code lässt nur Aa-Zz und 0-9 zu, musst du halt mit deinen Zeichen die du zulassen willst erweitern.
$this->bbcode_second_pass_code('', '
$pattern = "^[a-zA-Z0-9]+$";
if (preg_match('.$pattern.', $row['bio'])) {
// alles ok
} else {
echo "nicht ok";
}
')
Autor:  Dwyn [ So 20 Jul, 2008 13:01 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
könnte man das auch so machen das man einträgt welche verboten sidn? zeichen udn zeichen folgen? dann könnte man auch wörter verbieten wie .xss .XSS .script .PHP .php ect^^

denn dann könnte man auch das ; drin lassen, denn wenn man dateiendungen verbietet, kann man schlecht auf andere datein verweisen die extern aufgerufen werden zb in nem 0x0px frame
Autor:  Kevz [ So 20 Jul, 2008 13:38 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Mhh..

ich bin selbst so nicht der Freund, von HTML- erlaubten Tags. Deshalb solltest Du evtl. den Usern die möglichkeit geben, in BBCode- artiger Form, etwas anzubieten. So lässt sich der Code auch etwas leichter handhaben, und der regEx dürfte wesentlich sauberer dadurch wirken. (regEx ggf. in der Datenbank speichern)
Autor:  Dwyn [ So 20 Jul, 2008 15:46 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Mhh soweit ich weiß gibt es mit BB-code abe rnicht umbedingt die Möglichkeit Tabellen zu errichten, nicht wahr? :)
Autor:  Kevz [ So 20 Jul, 2008 16:35 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Nicht direkt möglich.
Man müsste sich dafür einfach nur selbst einen BBCode für basteln bzw. das ganze zurecht schnippseln.

Zudem, was willst Du überhaupt mit Tabellen in der Bio?! - Dann kannst Du ja zugleich die Biographie selbst anpassen
Autor:  Dwyn [ So 20 Jul, 2008 16:43 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Nunja, ich möchte eben das die user so viel gestaltungsfreiheit haben wie es geht , irh versteht? :) "Nur Text" bios wirken doch auf dauer oft Langweilig (Somal sie im gesamt bild oft gleich wirken) eine mit tabellen schön gestaltete Bio ist doch etwas worauf man stolz sein kann :p

also es wärhe möglich bb codes zu erweitern? Das währe ja schonmal richtig toll :)
Autor:  Kevz [ So 20 Jul, 2008 17:03 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Dafür musst Du erstmal BBCodes besitzen bzw. etwas in der Form... ;-) - Ist halt viel Aufwand, für eig. kaum nennenswerte Arbeit? Naja, back to topic. ;-)
Autor:  Dwyn [ So 20 Jul, 2008 18:55 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Schon, da hast du recht, aaaber was tut an nicht alles um die user Glücklich zu machen? und najaunseren usern sind schöne bio wichtig, aus welchem grund auch immer >.<

abe reifnacher wärs eben die dateinendungen zu verbieten *grübel* ein if gibt es dafür wirklich nicht ne? ;_;
Autor:  Taikun14 [ So 20 Jul, 2008 20:51 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Versuche die Version von Arath, damit sollte es klappen - wohlmöglich musst du natürlich noch erweitern.^^
Autor:  Dwyn [ Mo 21 Jul, 2008 06:27 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Loool^^ jau ich versuch es mit Arath methode :) abe rich hab heut gemerktd as fast alle Userbios gesperrt waren wegen musik codes von deezer, ect xD

$this->bbcode_second_pass_code('', 'if(strpos($row[bio],";")<1){
bio
}else{
warnung
}')


scheint doch zu funktionieren, doch kann man das leicht umgehen, indem man das aller erste zeichen ein ; macht dann gehts dennoch, wieso auch immer >.< ich hatte es ja von der Avatar erkennung in der prefs übernommen, eigendlich müsste der ja dann beim letzten zeichen ja sagen oder? und nicht beim ersten *hust*

aber ich versuch es weiter und wenn ich durch zu fall mal die perfeckte lösung finde Poste ich sie hier x)
Autor:  Auric [ Mo 21 Jul, 2008 16:45 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Schau dir doch einfach mal die Manual Seite zu strpos an....
Autor:  Nightborn [ Di 22 Jul, 2008 09:48 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Mal ne Frage.

Warum gehst Du nach

"Alles erlauben, aber versuchen Schadcode gezielt auszufiltern"

vor, und nicht nach

"Nur erlauben was ich will, Rest verbieten"

?

Ich glaub, das hängt damit zusammen, daß hier einfach Leute lieber im Knie popeln und drei Zeilen ändern anstatt mal über den globalen Sinn nachzudenken...klar, sind ja nur ein paar Zeilchen ;) einfach ändern, dann gehts... und schon ist ein Loch da in der Größe von New York.


Okay, für ganz faule:

* accounts table neues feld image
* "wie ist der link zu deinem bild" + input feld in die prefs.php
* bio.php --> selektiere aus der accounts tabelle das image für den user der angezeigt wird (ID) und speichere in $image
* bio.php --> ruf einfach "<img src='".htmlentities($image)."'>" auf ....

dann trennt ihr Bild von Text/Inhalt, wie es sich gehört.... wenn ihr schon Leuten HTML erlauben wollt, dann baut einen BB-Code mod... aber NIE blanken HTML.
Autor:  Kevz [ Di 22 Jul, 2008 11:51 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Nightborn hat geschrieben:
Mal ne Frage.

Warum gehst Du nach

"Alles erlauben, aber versuchen Schadcode gezielt auszufiltern"

vor, und nicht nach

"Nur erlauben was ich will, Rest verbieten"

?

Ich glaub, das hängt damit zusammen, daß hier einfach Leute lieber im Knie popeln und drei Zeilen ändern anstatt mal über den globalen Sinn nachzudenken...klar, sind ja nur ein paar Zeilchen ;) einfach ändern, dann gehts... und schon ist ein Loch da in der Größe von New York.

:lol:

Nightborn hat geschrieben:
Okay, für ganz faule:

* accounts table neues feld image
* "wie ist der link zu deinem bild" + input feld in die prefs.php
* bio.php --> ruft einfach "<img src='".htmlentities($session['user']['image']."'>" auf ....

dann trennt ihr Bild von Text/Inhalt, wie es sich gehört.... wenn ihr schon Leuten HTML erlauben wollt, dann baut einen BB-Code mod... aber NIE blanken HTML.

Baut doch nicht die ganze Accounts-Tabelle so voll! Das ist Sinnlos...
Autor:  Nightborn [ Di 22 Jul, 2008 14:17 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Zitat:
Baut doch nicht die ganze Accounts-Tabelle so voll! Das ist Sinnlos...


japp, aber bevor ich ihm noch ne extra Tabelle mit reinen userprefs anlege... soll er lieber das so machen...
Autor:  Dwyn [ Do 24 Jul, 2008 21:16 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Nunja der COde zum hacken de rmir Persöblich aufgefallen ist (ich möchte nicht zu viel verraten O.o) ist ein einfaches <img src='bla'>.. nur es wurd emit einem bööösen onload=' erweitert.. daher kann ich ja gern nur das zulassen was ich will nur müsste ich dann leiderdürfte ichd ann ganrhicts zulassen weil man ja alles mit Onload erweitern kann :/ daher einfach ; udn noch nen paar andere begriffe sperren udnd ie sache hat sich xD
Autor:  Nightborn [ Fr 25 Jul, 2008 07:39 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
:D warum rede ich eigentlich.

naja, wenn du eben deinen server gern offenlassen magst, dann mach das doch einfach.
wenn du weiter so denkst, wird es genau weiter so enden.

du wirst weiter verwundbar bleiben, außer du änderst die systematik ^^ aber das willst du anscheinend nicht, weils dir zuviel aufwand ist...

dann lassen wir das doch einfach. =)
Autor:  Dwyn [ Fr 25 Jul, 2008 08:52 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
aah aaah aahh idee idee iddeee!^^

Kann man nicht bestimmte html tags als farbcodes gestalten? zb:

`murl`m = bild
`a = table

würde das hin hauen? x)

und dann html natürlichin der bio verbieten^^
Autor:  Nightborn [ Fr 25 Jul, 2008 09:18 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
Nightborn hat geschrieben:
Mal ne Frage.
dann trennt ihr Bild von Text/Inhalt, wie es sich gehört.... wenn ihr schon Leuten HTML erlauben wollt, dann baut einen BB-Code mod... aber NIE blanken HTML.


Wo liegt in Deinen Worten eine neue Aussage?
Farbcodes... klar. `a das ist mein link <---das ist jetzt der link? ;) ich möchte sehen, wie du das umsetzt... vor allem mit dem schließen solcher Tags =)
Autor:  Dwyn [ Fr 25 Jul, 2008 09:30 ]
Betreff des Beitrags:  Re: HTML schwachstelle in den Bios.
joo das mit dem umsetzen hab ich auhc grad gemerkt >.<

und wie erwartet habe ich beim schließen probs gehabt xD

och mennoo *hoil*
Seite 1 von 2 Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/