Gast hat Code gepostet - Was bewirkt dieser?

X-Box · Beitrag von **X-Box** » 19.12.2004 18:51

Private Sub Command1_Click() 
Dim xptext As String 
Dim num1 As Integer, num2 As Integer, num3 As Integer, num4 As Integer 
num1% = 0 
num2% = 100 
num3% = 0 
num4% = 100 
1: xptext$ = xptext$ & "Zitat: 
" 
num1% = num1% + 1 
If num1% = num2% Then GoTo 2 Else GoTo 1 
2: xptext$ = xptext$ & " 
" 
num3% = num3% + 1 
If num3% = num4% Then GoTo 3 Else GoTo 2 
3: Clipboard.Clear 
Clipboard.SetText xptext$ 
End Sub

Dieser Code wurde bei uns im Forum von einem Gast gepostet. Hab die Postings gleich wieder gelöscht. Nur interessiert mich jetzt was dieser Code bewirken soll.

Weiß von euch jemand rat?

Gruß
X-Box

larsneo · Beitrag von **larsneo** » 19.12.2004 19:21

+Details+
=========

This flaw could allow a malicious user
to alter the alignment and layout of any posts in the same thread as the exploit post.

The exploit just involves using an absurd amount of blank quotes in a single post.

'text is automaticly copied to the windows clipboard
'user just has to paste the text into a post to execute the exploit

der bei dir gepostete code ist allerdings (glücklicherweise) von einem script-kiddie unbrauchbar gemacht worden

X-Box · Beitrag von **X-Box** » 19.12.2004 19:25

Super, da konnte der Gast dann ja bei mir nix mehr anrichten!

Danke für den Hinweis.

marino · Beitrag von **marino** » 19.12.2004 19:34

larsneo hat geschrieben:
der bei dir gepostete code ist allerdings (glücklicherweise) von einem script-kiddie unbrauchbar gemacht worden

tjaja wenn wir die nicht hätten

Matzelein · Beitrag von **Matzelein** » 19.12.2004 20:41

Äh, mal eine Frage:
Können Gäste etwas Java-Script posten, der ausgeführt wird? Kann doch nicht sein.

larsneo · Beitrag von **larsneo** » 19.12.2004 20:48

der (original)code ist lediglich eine 'helper' funktion um ein entsprechendes posting zu erstellen

marino · Beitrag von **marino** » 19.12.2004 20:48

doch matze das kann sein .. wenn du html komplett zulässt können javascripts gepostet werden .. und wenn diese nicht vom boardscript "entschärft " werden kann das böse ins auge gehn, da spielt es keine rolle ob das ein gast ist der das schreibt oder ein reg user...
hab das backup eines users in dem es nur so von javascripts wimmelt

Sorcio · Beitrag von **Sorcio** » 19.12.2004 20:54

Hmm ich habe !immer! HTML aktiviert. Birgt das gefahren für den Server? oder nur für das forum.

Matzelein · Beitrag von **Matzelein** » 19.12.2004 20:58

Sorcio hat geschrieben:Hmm ich habe !immer! HTML aktiviert. Birgt das gefahren für den Server? oder nur für das forum.

Siehe oben, man kann Scripts ausführen.

Danke marino, html habe ich komplett deaktiviert.

marino · Beitrag von **marino** » 19.12.2004 21:01

hmm ich bin der meinung das , wenn der passende code abgesetzt wird -und dieser nicht vom script "entschärft" wird- sich dieser auch auf dem server auswirken kann, kommt halt auch mit darauf an wieweit der abgesichert ist ... server von grossen hostern wie 1&1, allinklusiv, funpic, netroom etc werden da wohl abgesichert sein aber es gibt genug private server die irgendwo daheim stehen oder in einer firma etc.. und ob die passend gesichert sind .. .. ??
wobei dazugesagt werden sollt das man mit java selber wohl nicht viel anrichten kann .. ausser das es ein absolut geniales tool ist um viren etc einzuschleusen .. allerdings glaub ich das da echte "java-" experten mehr dazu sagen können