Hi,
habe in meinem Board einige HTML-Tags erlaubt. U.a. auch den "<script" - Tag.
Ein User hatte einen Thread gestartet und die ganze Seite wurde von einem blauen Rechteck bedeckt in dem Text stand. Das hat fast alles verdeckt. Desweiteren waren einige Buttons weg, die waren dann irgendwo in dem blauen Kästchen. Es waren andere Scripte per <script-Tag eingefügt.
Habe dann den Beitrag entfernen können, der Ersteller des Threads (der allerdings nur die Absicht hatte, uns zu zeigen, dass es unsicher ist das Board) hat behauptet, dass man somit auch Login-Daten oder Cookies abfangen könnte, oder sonstige forenschadende Sachen einbauen könnte.
Kann man das wirklich? O.O
Hier der Link zum Thread in meinem Forum: http://tobias-theis.de/phpBB/viewtopic.php?t=410
HTML erlauben ist Einladung für Hacker?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
unter anderem halt auch cookies auslesen...-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Logindaten wird ein Problem zu klauen.. aber das Cookie zu klauen und somit sich als eine andere Person im Forum bewegen ist wirklich via JavaScript recht schnell getan. Da ich hier keine Lehrstunde in Hacking geben will, folgt natürlich kein Beispiel.
Grüße,
Tekin
Grüße,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
html ist eigentlich *immer* böse und sollte von daher besser *nie* erlaubt werden - selbst beim sanitizing von entsprechenden benutzereingaben über z.b. *htmlpurifier* bleiben unter umständen noch lücken bestehen...
