anpera.net • Thema anzeigen - Weitere Sicherheitslücken

Unbeantwortete Themen | Aktive Themen

Foren-Übersicht » Foren » Legend of the Green Dragon » Modder Forum & Technischer Support

Alle Zeiten sind UTC + 1 Stunde

Weitere Sicherheitslücken

Moderatoren: MySql, Eliwood

Seite 1 von 1

[ 9 Beiträge ]

Druckansicht

Vorheriges Thema | Nächstes Thema

Autor

Nachricht

Eliwood

Betreff des Beitrags: Weitere Sicherheitslücken

Verfasst: Mo 20 Mär, 2006 19:45

Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich

Nach der Sache mit dem Geschlecht hat mir das ganze mit den Formularen keine Ruhe gelassen.
Und, wie ich gedacht habe, sind mir weitere Sicherheitslücken wie Schuppen von den Augen gefallen.

Bisher sind die gefundenen nicht gravierend, aber wer weiss, was sich sonst noch finden lässt:

Formulare sind böse!
Bitte, wenn ihr ein Formular braucht, nehmt niemals hidden-Felder, Radio-Buttons oder Markierkästchen, sondern versteckt die Infos schön in den Sessions.

Warum?
Ganz einfach. Mit dem richtigen Wissen kann man zum Beispiel beim Kommentare hinzufügen einfach das Formular ebenso manipulieren - Und plötzlich erscheinen Kommentare von nem Wildfremden Bauernjungchen in der Superuser-Grotte.

Wie das ganze geht, erkläre ich nicht. Wer es wissen möchte, soll ne PN schreiben, doch gebe ich nur bekannten Personen darüber Auskunft, denen ich wirklich sowas anvertrauen kann.

In der Hoffnung, keine weiteren Lücken zu finden, Eliwood.

Nach oben

Chaosmaker

Betreff des Beitrags:

Verfasst: Mo 20 Mär, 2006 20:03

Großmeister

Registriert: Mi 15 Dez, 2004 00:41
Beiträge: 467
Wohnort: München

Och keine Angst, mindestens bei 0.9.7 gibts noch einen extrem gravierenden, mit dem man so richtig viel zerschießen kann.

_________________
A bus station is where busses stop. A train station is where trains stop. On my desk there is a workstation...

Nach oben

Eliwood

Betreff des Beitrags:

Verfasst: Mo 20 Mär, 2006 20:33

Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich

Chaosmaker hat geschrieben:

Och keine Angst, mindestens bei 0.9.7 gibts noch einen extrem gravierenden, mit dem man so richtig viel zerschießen kann.

Jetzt hab ich Angst :shock:

Mit den kleinen Lücken, die ich find, kann man besten Falls Spass haben, aber dass es so ne Lücke gibt?

Nach oben

Auric

Betreff des Beitrags:

Verfasst: Mo 20 Mär, 2006 23:22

Freak

Registriert: So 30 Okt, 2005 17:48
Beiträge: 1408
Wohnort: PB
Geschlecht: Männlich
LoGD: http://dav.blood-reaver.de/lotgd/

...Daily Backup...

"Sicher" ict nix, was irgendwie am Netz klemmt... aber wer regelmäßig backups erstellt, ist deutlich besser dran!

Und Sicherheitslücken gibt es immer und überall.

_________________
Mehr oder minder inaktiv

Nach oben

Devilzimti

Betreff des Beitrags:

Verfasst: Di 21 Mär, 2006 06:47

Freak

Registriert: Sa 04 Dez, 2004 02:34
Beiträge: 825

javascript: getelementbyid().value= ""

Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP

Nach oben

Auric

Betreff des Beitrags:

Verfasst: Di 21 Mär, 2006 14:40

Freak

Registriert: So 30 Okt, 2005 17:48
Beiträge: 1408
Wohnort: PB
Geschlecht: Männlich
LoGD: http://dav.blood-reaver.de/lotgd/

Devilzimti hat geschrieben:

Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP

Wie das? Ok - wenn jemand das Commentary Feld auf "Text" ändert ja, aber sansonsten ist ja von MySQL eine fixe anzahl von Zeichen vorgeschrieben, die maximal eingegeben werden kann...

_________________
Mehr oder minder inaktiv

Nach oben

Kevz

Betreff des Beitrags:

Verfasst: Di 21 Mär, 2006 15:11

Freak

Registriert: Mo 06 Sep, 2004 15:17
Beiträge: 3236
Geschlecht: Männlich

Desweiteren kann man ja so ziemlich alles Filtern, wenn man dran denkt von d.h. ist doch schon fast alles sicher.

Nach oben

Eliwood

Betreff des Beitrags:

Verfasst: Di 21 Mär, 2006 17:29

Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich

Auric hat geschrieben:

Devilzimti hat geschrieben:

Aba man kann auch ganz Easy die Zeilenbergenzung mit bissl javascript umgehen, und die chat areas sprengen xP

Wie das? Ok - wenn jemand das Commentary Feld auf "Text" ändert ja, aber sansonsten ist ja von MySQL eine fixe anzahl von Zeichen vorgeschrieben, die maximal eingegeben werden kann...

Es sei denn, man ändert das Feld auf Text und vergisst, mit PHP das ganze zu Begrenzen

Stimmt doch, Devil *g*
Meine schöne Kneipe da voll schreiben

Und so kann man sich davor schützen:

[php]$commentary = addslashes(stripslashes(substr($commentary,0,500)));[/php]

Nach oben

Auric

Betreff des Beitrags:

Verfasst: Di 21 Mär, 2006 18:22

Freak

Registriert: So 30 Okt, 2005 17:48
Beiträge: 1408
Wohnort: PB
Geschlecht: Männlich
LoGD: http://dav.blood-reaver.de/lotgd/

Eliwood hat geschrieben:

Es sei denn, man ändert das Feld auf Text und vergisst, mit PHP das ganze zu Begrenzen

Dann ist man auch selber Shculd: Wer keine Ahnung von HTML, PHP & MySQL hat kann eben nicht den "Perfekten Server" haben, auch wenn das viele mit Gewalt übersehen wollen!

_________________
Mehr oder minder inaktiv

Nach oben

Seite 1 von 1

[ 9 Beiträge ]

Foren-Übersicht » Foren » Legend of the Green Dragon » Modder Forum & Technischer Support

Alle Zeiten sind UTC + 1 Stunde

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste

Du darfst keine neuen Themen in diesem Forum erstellen
Du darfst keine Antworten zu Themen in diesem Forum erstellen
Du darfst deine Beiträge in diesem Forum nicht ändern
Du darfst deine Beiträge in diesem Forum nicht löschen
Du darfst keine Dateianhänge in diesem Forum erstellen

Gehe zu:

Anmelden	FAQ Suche
Portal	Album