HSINC - 13.9.2006 um 15:11
dieser READ THIS! thread nutzt sicherheitslücken aus um an die im cookie gespeicherten logininformationen zu kommen. er sollte nicht angeschaut werden bis ein admin ihn bereinigt hat.
generell sollten die in posts erlaubten html einstellungen ein wenig fester gezogen werden
Kurvenfan - 13.9.2006 um 16:10
Danke für die Warnung!
Ist erstmal weggeschoben.
SAM - 13.9.2006 um 22:27
Ich habe mir das gerade mal angeschaut...
JavaScript im Text des Postings eingeschmuggelt, aber nicht als HTML, sondern im BBCode. Zumindest der Indernet Exploiter interpretiert das JavaScript dort auch, obwohl es nicht in einem <script>-Tag steht. Was soll ich nun gegen sowas machen? Die Forumssoftware filtert den BBCode nicht. BBCode abschalte wäre schlecht, dann kann man auch nicht mehr verlinken.
Hmm... ich muss morgen mal darüber nachdenken, zu spät heute...
Kurvenfan - 13.9.2006 um 22:38
BB Script?
Böhmische Dörfer sind das für mich.
Aber mal gut, das manche User aufpassen.
Was ist mit xp Rechnern mit allen Updates?
Mein Popupblocker hat mir ne Warnung gegeben und ich hab dann blockiert.
Meine Virenscanner haben nichts gefunden.
Sollte man besser die Passwörter ändern?
SAM - 13.9.2006 um 22:53
Das sind keine Viren. Wenn ein angemeldeter Benutzer den "verseuchten" Thread öffnet, dann liest das (unsichtbar) im Text stehende JavaScript die Session-ID des angemeldeten Benutzers aus dem Cookie aus und übermittelt sie an den Hacker. Der kann dann die fremde Identität annehmen.
Dein Popup-Blocker hat Dich übriges gerettet. 
HSINC - 14.9.2006 um 03:00
@sam, wie kann man ne background-image:url mittels bbcode setzen ?
kannst du mir den betreffenden bbcode mal per mail/pm schicken, so das ich den uninterpretierten code bekomme ?
und eigentlich müsste es nen patch für post/phpnuke bzw das forum hier geben, der solche sachen net mehr zulässt
btw, jeder der den thread angeschaut hat, den ie benutzt, popups zulässt und seine logininformationen im cookie gespeichert hat, sollte sein pswd ändern
Skeptiker - 14.9.2006 um 06:17
Zitat:
Ich habe mir das gerade mal angeschaut...
JavaScript im Text des Postings eingeschmuggelt, aber nicht als HTML, sondern im BBCode. Zumindest der Indernet Exploiter interpretiert das JavaScript dort auch, obwohl es nicht in einem <script>-Tag steht. Was soll ich nun gegen sowas machen?
Nicht den Internet Explorer verwenden vielleicht?
Außerdem ist es eine gute Idee, Javascript nur dann anzuhaben, wenn man es auch braucht...
(Also z.B. im Chat...)
Wobei, wenn er "nur" die Session-ID auslesen konnte bestand die Gefahr ja nur, solange man nach Lesen der Message angemeldet war. Soweit ich das übersehe, bekommt man ja auch wenn man angemeldet ist sein eigenes Password nirgendwo zu Gesicht, also konnte er (oder sie) es sich ja auch nicht ansehen, oder?
Bitte klärt diesbezüglich einen "Halb-Laien" wie mich doch mal auf...
Vor allem klärt mich mal darüber auf, wieso hier nur ein kleiner Teil meines Postings angezeigt wird, obwohl ich ihn komplett sehe, wenn ich in editiere...?
[SAM:] Keine Ahnung. Jetzt ist zumindest alles wieder da...
[SAM:] Doch Ahnung. Hier steht zu oft das Wort "s c r i p t". Manchmal schlägt der Filter dann etwas grob zu. Wie war das noch mit "gierigen regulären Ausdrücken" ...
[Editiert am 14/9/2006 von Skeptiker]
[Editiert am 14/9/2006 von SAM]
[Editiert am 14/9/2006 von SAM]
SAM - 14.9.2006 um 09:56
Zitat:
eigentlich müsste es nen patch für post/phpnuke bzw das forum hier geben, der solche sachen net mehr zulässt
So wie es aussieht, ist selber patchen angesagt.
Dazu habe ich mal einen Hilferuf gestartet (ähem, das heißt auch, um mir die Arbeit zu ersparen ). Also wer sich mit regulären Ausdrücken auskennt, der möge bitte hier mal schauen:
http://www.smart-roadster-club.de/modules.php?op=modload&name=XForum&am
p;file=viewthread&tid=16343
SAM - 14.9.2006 um 12:42
Zitat:
Soweit ich das übersehe, bekommt man ja auch wenn man angemeldet ist sein eigenes Password nirgendwo zu Gesicht, also konnte er (oder sie) es sich ja auch nicht ansehen, oder?
Richtig, ansehen kann man es nicht. Aber ändern...
|
