HSINC
Beiträge: 49 Registriert: 6.5.2005 Status: Offline |
erstellt am: 13.9.2006 um 17:11 Uhr: |
dieser READ THIS! thread nutzt sicherheitslücken aus um an die im cookie gespeicherten logininformationen zu kommen. er sollte nicht angeschaut werden bis ein admin ihn bereinigt hat.
generell sollten die in posts erlaubten html einstellungen ein wenig fester gezogen werden |
|
|
Kurvenfan
Ausgeschlossen
Beiträge: 3691 Registriert: 29.3.2004 Status: Offline |
erstellt am: 13.9.2006 um 18:10 Uhr: |
Danke für die Warnung!
Ist erstmal weggeschoben.
____________________
|
|
SAM
ehemaliger Administrator Beiträge: 1361 Registriert: 2.4.2003 Status: Offline |
erstellt am: 14.9.2006 um 00:27 Uhr: |
Ich habe mir das gerade mal angeschaut...
JavaScript im Text des Postings eingeschmuggelt, aber nicht als HTML, sondern im BBCode. Zumindest der Indernet Exploiter interpretiert das JavaScript dort auch, obwohl es nicht in einem <script>-Tag steht. Was soll ich nun gegen sowas machen? Die Forumssoftware filtert den BBCode nicht. BBCode abschalte wäre schlecht, dann kann man auch nicht mehr verlinken.
Hmm... ich muss morgen mal darüber nachdenken, zu spät heute... ____________________ |
|
Kurvenfan
Ausgeschlossen
Beiträge: 3691 Registriert: 29.3.2004 Status: Offline |
erstellt am: 14.9.2006 um 00:38 Uhr: |
BB Script?
Böhmische Dörfer sind das für mich.
Aber mal gut, das manche User aufpassen.
Was ist mit xp Rechnern mit allen Updates?
Mein Popupblocker hat mir ne Warnung gegeben und ich hab dann blockiert.
Meine Virenscanner haben nichts gefunden.
Sollte man besser die Passwörter ändern?
____________________
|
|
SAM
ehemaliger Administrator Beiträge: 1361 Registriert: 2.4.2003 Status: Offline |
erstellt am: 14.9.2006 um 00:53 Uhr: |
Das sind keine Viren. Wenn ein angemeldeter Benutzer den "verseuchten" Thread öffnet, dann liest das (unsichtbar) im Text stehende JavaScript die Session-ID des angemeldeten Benutzers aus dem Cookie aus und übermittelt sie an den Hacker. Der kann dann die fremde Identität annehmen.
Dein Popup-Blocker hat Dich übriges gerettet. ____________________ |
|
HSINC
Beiträge: 49 Registriert: 6.5.2005 Status: Offline |
erstellt am: 14.9.2006 um 05:00 Uhr: |
@sam, wie kann man ne background-image:url mittels bbcode setzen ?
kannst du mir den betreffenden bbcode mal per mail/pm schicken, so das ich den uninterpretierten code bekomme ?
und eigentlich müsste es nen patch für post/phpnuke bzw das forum hier geben, der solche sachen net mehr zulässt
btw, jeder der den thread angeschaut hat, den ie benutzt, popups zulässt und seine logininformationen im cookie gespeichert hat, sollte sein pswd ändern |
|
Skeptiker
* Moderator * Beiträge: 2907 Registriert: 9.6.2004 Status: Offline |
erstellt am: 14.9.2006 um 08:17 Uhr: |
Zitat: Ich habe mir das gerade mal angeschaut...
JavaScript im Text des Postings eingeschmuggelt, aber nicht als HTML, sondern im BBCode. Zumindest der Indernet Exploiter interpretiert das JavaScript dort auch, obwohl es nicht in einem <script>-Tag steht. Was soll ich nun gegen sowas machen?
Nicht den Internet Explorer verwenden vielleicht?
Außerdem ist es eine gute Idee, Javascript nur dann anzuhaben, wenn man es auch braucht...
(Also z.B. im Chat...)
Wobei, wenn er "nur" die Session-ID auslesen konnte bestand die Gefahr ja nur, solange man nach Lesen der Message angemeldet war. Soweit ich das übersehe, bekommt man ja auch wenn man angemeldet ist sein eigenes Password nirgendwo zu Gesicht, also konnte er (oder sie) es sich ja auch nicht ansehen, oder?
Bitte klärt diesbezüglich einen "Halb-Laien" wie mich doch mal auf...
Vor allem klärt mich mal darüber auf, wieso hier nur ein kleiner Teil meines Postings angezeigt wird, obwohl ich ihn komplett sehe, wenn ich in editiere...?
[SAM:] Keine Ahnung. Jetzt ist zumindest alles wieder da...
[SAM:] Doch Ahnung. Hier steht zu oft das Wort "s c r i p t". Manchmal schlägt der Filter dann etwas grob zu. Wie war das noch mit "gierigen regulären Ausdrücken" ...
[Editiert am 14/9/2006 von Skeptiker]
[Editiert am 14/9/2006 von SAM]
[Editiert am 14/9/2006 von SAM] ____________________
Leben bedeutet Veränderung -
ob man will oder nicht. |
|
SAM
ehemaliger Administrator Beiträge: 1361 Registriert: 2.4.2003 Status: Offline |
erstellt am: 14.9.2006 um 11:56 Uhr: |
Zitat: eigentlich müsste es nen patch für post/phpnuke bzw das forum hier geben, der solche sachen net mehr zulässt
So wie es aussieht, ist selber patchen angesagt.
Dazu habe ich mal einen Hilferuf gestartet (ähem, das heißt auch, um mir die Arbeit zu ersparen ). Also wer sich mit regulären Ausdrücken auskennt, der möge bitte hier mal schauen:
http://www.smart-roadster-club.de/modules.php?op=modload&name=XForum&am
p;file=viewthread&tid=16343 ____________________ |
|
SAM
ehemaliger Administrator Beiträge: 1361 Registriert: 2.4.2003 Status: Offline |
erstellt am: 14.9.2006 um 14:42 Uhr: |
Zitat: Soweit ich das übersehe, bekommt man ja auch wenn man angemeldet ist sein eigenes Password nirgendwo zu Gesicht, also konnte er (oder sie) es sich ja auch nicht ansehen, oder?
Richtig, ansehen kann man es nicht. Aber ändern... ____________________ |
|