Coder Board Community

Das ist ein Sicherheitsmechanismus der hier im Coder Board z.B. solche Dinge verhindert. Mit genau dem Beispiel das Du genannt hast ist es nicht nur möglich nervige Meldungen anzeigen zu lassen sondern im schlimmstenfall sogar Funktionen auszuführen. Wie gesagt, hier im Coder Board werden ganz bestimmte Dinge verhindert und Du hast wohl als erster ein mögliches Exploit gefunden

Zu deinem Problem. Was hast Du für ein System? Ein WBB?

kann mir das mal jmd genauer erklären es wird in das bild was geschrieben ?

Das Avatar ist ja ein Bild was ausgegeben wird. Und wenn Du einen JS Alert da rein setzt dann erscheint bei jedem Aufruf wo normal das Avatar angezeigt werden sollte eben die Meldung die eingegeben wurde. Bei manschen Systemen wird sowas unterbunden aber es gibt viele bei denen ist das ohne Probleme möglich.

Quoted

Original von TheRock

Quoted

Original von Prometheus
Das Avatar ist ja ein Bild was ausgegeben wird. Und wenn Du einen JS no exploit da rein setzt dann erscheint bei jedem Aufruf wo normal das Avatar angezeigt werden sollte eben die Meldung die eingegeben wurde. Bei manschen Systemen wird sowas unterbunden aber es gibt viele bei denen ist das ohne Probleme möglich.

...und um genau das zu verhindern, suche ich eine PHP-Funktion

gibt es quellen wie das genau funktioniert ? Ich hab da echt noch nie von gehört.. aes geht auch per PN

Wenn Du z.B. so eine Art kleines Forum selbst baust oder eben irgend eine andere Webanwendung wo ein Usersystem drin steckt und die User dürfen Avatare hochladen dann kann man wenn man im Code solche Dinge nicht unterbindet erreichen das JS ausgeführt wird. Das heißt einer der sich mit JS sehr gut auskennt erreicht z.B. das überall da wo normal das Avatar des Users zu sehen sein sollte automatisch ein Layer Ad eingeblendet wird von dem User oder sonstige Spielereien. Stell Dir vor wie normalerweise die Avatar Grafik dargestellt werden sollte und stell Dir vor das der html Bereich nicht escaped ist und was dann alles passieren kann.

Ich musste unachtsamkeit schon am eigenen Leib spüren als ich damals mal einfach in einer index.php die Folgeseiten includiert habe. Ich hatte den Aufruf in der Browserzeile einfach so das man z.B. index.php?page=seite1.php als Link festlegen konnte und dann wurde in meine index.php die seite1.php includiert und das war mein tödlicher Fehler. Jemand dem das aufgefallen war hat so einfach seinen eigenen PHP Code includiert und darüber vollen Root Zugriff auf meinen Server erhalten. Das war eigene Dummheit von mir aber außer das der auf meinem Server haufenweise rootkits und sonstiges installiert hat ist nichts passiert.

Man sicht also es ist nicht so banal ein Webprojekt wirklich sicher zu machen. Das schlimme ist das die Skripte zum Knacken von Seiten einfach so zu finden sind im Netz und die Leute die diese anwenden oft noch nicht mal nen Plan davon haben was die da machen. Ich hab selbst 3 Skripte zum Knacken von WBB Systemen und mit dem einen erhalte ich volle Adminzugänge wenn die Seite sich nicht dagegen schützt.

nun aber ich uploade doch nur ein bild dieses wird in aufn server abgelegt und später hohle ich mir nur den namen aus der DB und dann echo !! puff... mein ansatz wäre jetzt der bildname wo ich code implementiere..

also du könntest ja einfach die grade hochgeladene datei öffnen und ein strstr drüber laufen lassen, ob du zum beispiel "script" findest. wenn ja datei löschen, wenn nein avatar freigeben