phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Hilfe - Hacker am Werk!!

https://www.phpbb.de/community/viewtopic.php?t=55554

Seite 2 von 2

Verfasst: 27.05.2004 13:24
von Christian_W
larsneo hat geschrieben:
Deshalb sind seit phpBB 2.0.8 ja nur noch 'richtige' Bilder erlaubt.
...ob dafür aber eine regexp ausreicht (insbesondere beim einsatz von mod_rewrite auf dem server) sei einmal dahingestellt :roll:
Auch wieder wahr.
Bei dem Beispiel

Code: Alles auswählen

[img]http://www.url.com/phpbb2/login.php?logout=true&s=.gif[/img]
reicht das aber würde ich meinen. (Ich kenne mich damit auch nicht so besonders gut aus) Ist bei 'besseren' Angriffen das dann nicht auch vom Browser abhängig? Je nach dem was der mit einem Script bzw. einer URL macht die er als Bild untergeschoben bekommt?

Gruß Christian

Verfasst: 28.05.2004 12:05
von günni
Habe noch mal mit dem Bekannten gesprochen.


Man könnte sogar die einzelnen Boards löschen.

Zum Beispiel:

http://URI/phpbb2/admin/admin_forums.ph ... onfirm=yes

Der letzte Parameter gibt direkt die Antwort auf die Sicherheitsabfrage.

f=1 steht für das Forum mit der ID 1.

Es besteht außerdem noch die Möglichkeit andere User zu Admins und Mods zu machen.

Verfasst: 28.05.2004 12:15
von itst
Ja echt? Wie soll das denn gehen?

Verfasst: 28.05.2004 12:23
von Tuxman
günni hat geschrieben:Man könnte sogar die einzelnen Boards löschen.

Zum Beispiel:

http://URI/phpbb2/admin/admin_forums.ph ... onfirm=yes
Jo, mit Administrator-Passwort kein Problem - nur ohne... :-?

:D

Verfasst: 28.05.2004 21:01
von günni
Wenn aber jemand diesen Code in seine Signatur hinein setzt, so führt sich der Code bei mir als Admin aus, sobald ich diesen Beitrag lese. :-?

Verfasst: 28.05.2004 21:14
von Tuxman
Dann mach PHP in der Signatur aus...

Verfasst: 28.05.2004 21:16
von itst
günni hat geschrieben:Wenn aber jemand diesen Code in seine Signatur hinein setzt, so führt sich der Code bei mir als Admin aus, sobald ich diesen Beitrag lese. :-?
Nein.

Verfasst: 29.05.2004 00:08
von günni
@itst: Habe es gerade getestet. Du hast recht. Weshalb geht das denn nicht. Sind die Adminseiten nochmal extra geschützt?
Liegt das an der
sid=................

Verfasst: 29.05.2004 00:16
von itst
Weil Du a) als Admin eingeloggt sein musst und b) seit 2.0.8 eine gültige Session-ID in der URL haben musst.

Verfasst: 29.05.2004 00:35
von RubberDuck
itst hat geschrieben:Weil Du a) als Admin eingeloggt sein musst und b) seit 2.0.8 eine gültige Session-ID in der URL haben musst.
Und c) jeder eigentlich seinen Adminbereich mit einer weiteren Passwortabfrage schützt :-)
Alle Zeiten sind UTC+01:00
Seite 2 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de