[K050V4]

hey to all,

ich bastel seit ein paar tagen an ein kleines community-script. mit chat, umfragen, tutorials, usw. ich lege viel wert darauf, dass die user viel machen können, z.B.: polls erstellen, tutorials selber schreiben, im chat viele funktionen. dennoch sollen die user nicht irrgendwelche funktionen ausführen die sie eigentlich gar nicht dürfen.

hoffe ihr könnt mir helfen irgendwo eine sicherheitslücke zu finden
und postet bitte, wen die homepage nicht richtig angezeigt wird ... würde mich sehr freuen

klick - hp

mfg keny

[Witi]

Du hast einige XSS-Lücken.
Du überprüfst einfach an keiner Stelle den Wert der Variablen, was sehr schlecht ist.
Hier ein Beispiel: Klick
Und das funktioniert nicht nur dort!

[K050V4]

Oh vielen Dank Witi, genau sowas hab ich gemeint danke nochmal
und beim Chat? Da hab ich auch mit Ajax bzw. JavaScript gearbeitet, kann man da noch was machen?

[leange]

HI!

http://ilysm.il.funp...eam/?p=userlist

Hab mich auchnochmal drann zu schaffen gemacht ^^ (test123) ... das solltest du wirklich fixen weil du dortdein Cookie angezeigt bekommst ... das kann sehr gefährlich werden!

Benutz z.B. htmlentities() um alle sonderzeichen auszuschließen (sie werden noch angezeigt haben aber keine Funktion mehr) ...

MFG

[leange]

Ne mir is noch was aufgefallen ... wenn man im Chat :-) eingibt kommt man hin und wieder auf http://ilysm.il.funp...ction/write.php
Schon komisch und trägt sicher nicht der Sicherheit bei ...

MFG

[K050V4]

leange Danke! Werde ich sofort machen
und das mit den Fehler im Chat also das man da weitergeleitet wird das hasse ich so! Ich weiss aber nicht wo der Fehler liegt
Es liegt an den JavaScript-Code! Und dieser Fehler kommt nur beim Firefox ...
Wen man war im Form eingibt und auf senden klick soll er eigentlich die Dten senden ohne auf write.php zu springen hab im Form auch return:false eingebaut damit er nicht auf die Seite spring .... das komische daran ist ja das es manchmal wie gewünscht läuft und manchmal dieser dumme Fehler kommt!

[Angell]

Hallo!!
also wenn ich auf registrieren klicke und dann auf AGB dan kommt bei mir diese meldung!!

Warning: main() [function.include]: Failed opening '' for inclusion (include_path='.:') in /usr/export/www/vhosts/funnetwork/hosting/ilysm/DevDream/index.php on line 185

und sonst nichts!

[K050V4]

Das liegt daran, das es die Seite für AGB noch garnicht gibt

Edit: so ab jetzt schon ...

Dieser Beitrag wurde von keny bearbeitet: 24. Februar 2007 - 22:31