phpBB.de

Hi,

habe in meinem Board einige HTML-Tags erlaubt. U.a. auch den "<script" - Tag.
Ein User hatte einen Thread gestartet und die ganze Seite wurde von einem blauen Rechteck bedeckt in dem Text stand. Das hat fast alles verdeckt. Desweiteren waren einige Buttons weg, die waren dann irgendwo in dem blauen Kästchen. Es waren andere Scripte per <script-Tag eingefügt.
Habe dann den Beitrag entfernen können, der Ersteller des Threads (der allerdings nur die Absicht hatte, uns zu zeigen, dass es unsicher ist das Board) hat behauptet, dass man somit auch Login-Daten oder Cookies abfangen könnte, oder sonstige forenschadende Sachen einbauen könnte.

Kann man das wirklich? O.O

Hier der Link zum Thread in meinem Forum: http://tobias-theis.de/phpBB/viewtopic.php?t=410

also mit javascript kann man ziemlich viel machen unter anderem halt auch cookies auslesen...

also wenn du den script tag aussachltest bist du zu 98% sicher, denk ich mal^^

und wenn du html komplett ausschaltest, dann besteht keine hackinggefahr von der seite her...

Danke für die Info, ist nur im falschen Forum gelandet. Sollte eig. in phpBB 2.0: Administration und Benutzung

Logindaten wird ein Problem zu klauen.. aber das Cookie zu klauen und somit sich als eine andere Person im Forum bewegen ist wirklich via JavaScript recht schnell getan. Da ich hier keine Lehrstunde in Hacking geben will, folgt natürlich kein Beispiel.

Grüße,
Tekin

cYbercOsmOnauT hat geschrieben:folgt natürlich kein Beispiel.

Will auch gar keins haben...

html ist eigentlich *immer* böse und sollte von daher besser *nie* erlaubt werden - selbst beim sanitizing von entsprechenden benutzereingaben über z.b. *htmlpurifier* bleiben unter umständen noch lücken bestehen...