hey to all,
ich bastel seit ein paar tagen an ein kleines community-script. mit chat, umfragen, tutorials, usw. ich lege viel wert darauf, dass die user viel machen können, z.B.: polls erstellen, tutorials selber schreiben, im chat viele funktionen. dennoch sollen die user nicht irrgendwelche funktionen ausführen die sie eigentlich gar nicht dürfen.
hoffe ihr könnt mir helfen irgendwo eine sicherheitslücke zu finden
und postet bitte, wen die homepage nicht richtig angezeigt wird ... würde mich sehr freuen
klick - hp
mfg keny
Seite 1 von 1
Fehler/bugs/lücken Finden
#1
geschrieben 21. Januar 2007 - 22:28
Zitat
"In der Welt des Erkennbaren ist die Idee des Guten die höchste." - Platon
Spritify! Easy CSS-Sprite-Generator | Albanisch Deutsch Wörterbuch
Anzeige
#2
geschrieben 22. Januar 2007 - 08:05
Du hast einige XSS-Lücken.
Du überprüfst einfach an keiner Stelle den Wert der Variablen, was sehr schlecht ist.
Hier ein Beispiel: Klick
Und das funktioniert nicht nur dort!
Du überprüfst einfach an keiner Stelle den Wert der Variablen, was sehr schlecht ist.
Hier ein Beispiel: Klick
Und das funktioniert nicht nur dort!
#3
geschrieben 24. Januar 2007 - 17:10
Oh vielen Dank Witi, genau sowas hab ich gemeint danke nochmal
und beim Chat? Da hab ich auch mit Ajax bzw. JavaScript gearbeitet, kann man da noch was machen?
und beim Chat? Da hab ich auch mit Ajax bzw. JavaScript gearbeitet, kann man da noch was machen?
Zitat
"In der Welt des Erkennbaren ist die Idee des Guten die höchste." - Platon
Spritify! Easy CSS-Sprite-Generator | Albanisch Deutsch Wörterbuch
#4
geschrieben 24. Februar 2007 - 17:07
HI!
http://ilysm.il.funp...eam/?p=userlist
Hab mich auchnochmal drann zu schaffen gemacht ^^ (test123) ... das solltest du wirklich fixen weil du dortdein Cookie angezeigt bekommst ... das kann sehr gefährlich werden!
Benutz z.B. htmlentities() um alle sonderzeichen auszuschließen (sie werden noch angezeigt haben aber keine Funktion mehr) ...
MFG
http://ilysm.il.funp...eam/?p=userlist
Hab mich auchnochmal drann zu schaffen gemacht ^^ (test123) ... das solltest du wirklich fixen weil du dortdein Cookie angezeigt bekommst ... das kann sehr gefährlich werden!
Benutz z.B. htmlentities() um alle sonderzeichen auszuschließen (sie werden noch angezeigt haben aber keine Funktion mehr) ...
MFG
#5
geschrieben 24. Februar 2007 - 17:33
Ne mir is noch was aufgefallen ... wenn man im Chat :-) eingibt kommt man hin und wieder auf http://ilysm.il.funp...ction/write.php
Schon komisch und trägt sicher nicht der Sicherheit bei ...
MFG
Schon komisch und trägt sicher nicht der Sicherheit bei ...
MFG
#6
geschrieben 24. Februar 2007 - 21:57
leange Danke! Werde ich sofort machen
und das mit den Fehler im Chat also das man da weitergeleitet wird das hasse ich so! Ich weiss aber nicht wo der Fehler liegt
Es liegt an den JavaScript-Code! Und dieser Fehler kommt nur beim Firefox ...
Wen man war im Form eingibt und auf senden klick soll er eigentlich die Dten senden ohne auf write.php zu springen hab im Form auch return:false eingebaut damit er nicht auf die Seite spring .... das komische daran ist ja das es manchmal wie gewünscht läuft und manchmal dieser dumme Fehler kommt!
und das mit den Fehler im Chat also das man da weitergeleitet wird das hasse ich so! Ich weiss aber nicht wo der Fehler liegt
Es liegt an den JavaScript-Code! Und dieser Fehler kommt nur beim Firefox ...
Wen man war im Form eingibt und auf senden klick soll er eigentlich die Dten senden ohne auf write.php zu springen hab im Form auch return:false eingebaut damit er nicht auf die Seite spring .... das komische daran ist ja das es manchmal wie gewünscht läuft und manchmal dieser dumme Fehler kommt!
Zitat
"In der Welt des Erkennbaren ist die Idee des Guten die höchste." - Platon
Spritify! Easy CSS-Sprite-Generator | Albanisch Deutsch Wörterbuch
#7
geschrieben 24. Februar 2007 - 22:18
Hallo!!
also wenn ich auf registrieren klicke und dann auf AGB dan kommt bei mir diese meldung!!
Warning: main() [function.include]: Failed opening '' for inclusion (include_path='.:') in /usr/export/www/vhosts/funnetwork/hosting/ilysm/DevDream/index.php on line 185
und sonst nichts!
also wenn ich auf registrieren klicke und dann auf AGB dan kommt bei mir diese meldung!!
Warning: main() [function.include]: Failed opening '' for inclusion (include_path='.:') in /usr/export/www/vhosts/funnetwork/hosting/ilysm/DevDream/index.php on line 185
und sonst nichts!
#8
geschrieben 24. Februar 2007 - 22:27
Das liegt daran, das es die Seite für AGB noch garnicht gibt
Edit: so ab jetzt schon ...
Edit: so ab jetzt schon ...
Dieser Beitrag wurde von keny bearbeitet: 24. Februar 2007 - 22:31
Zitat
"In der Welt des Erkennbaren ist die Idee des Guten die höchste." - Platon
Spritify! Easy CSS-Sprite-Generator | Albanisch Deutsch Wörterbuch
Thema verteilen:
Seite 1 von 1