phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

BBCode Token probleme

https://www.phpbb.de/community/viewtopic.php?t=210440

Seite 1 von 1

BBCode Token probleme

Verfasst: 22.10.2010 10:58
von Skandaloes
Guten morgen zusammen,

ich habe ein kleines Problem, mit der Verwendung eines BBCodes in meinem Forum.
Und zwar handelt es sich dabei um folgenden Code.

Code: Alles auswählen

<style type="text/css">
a {text-decoration: none}
a:hover span {display: block; position: absolute; -moz-top: auto; -moz-left: auto;}
a span {display: none;}
img {border: 0px}
</style>

<a href="http://lidb.de/index.php?itemsuchen=1&name={TEXT}" target="_blank">
<img src="http://lidb.de/eqdkp_ico.php?name={TEXT}" width="24">
<span style="margin-top: -200px; margin-left: 20px">
<div><img border="0" src="http://lidb.de/eqdkp_stat.php?name={TEXT}"></div>
</span>
</a>
Das Problem ist, das ich mit dieser zusammenstellung diese Fehlermeldung bekomme.

Der BBCode, den du anlegen möchtest, scheint ein {TEXT}-Token innerhalb eines HTML-Attributs zu nutzen. Dies ist ein möglicher Angriffspunkt für Cross-Site Scripting (XSS). Verwende stattdessen, wenn möglich, die restriktiveren {SIMPLETEXT}- oder {INTTEXT}-Typen. Fahre nur fort, wenn du dich dem Risiko bewusst bist und die Verwendung von {TEXT} unvermeidbar ist.

Jetzt habe ich natürlich bedenken den Code so zu verwenden und habe schon versucht diesen abzuändern.
Allerdings funktioniert weder {SIMPLETEXT} noch {INTTEXT}, {URL} funktioniert nur stellenweise, da es in manchen URLs Leerzeichen gibt.

Nun habe ich die Hoffnung, das man mir hier vllt. etwas unter die Arme greifen kann.

Vielen Dank

Skanda...

Re: BBCode Token probleme

Verfasst: 22.10.2010 11:41
von dagobert50gold
Willkommen auf phpBB.de!

Benutzt du dazu einen MOD?

Re: BBCode Token probleme

Verfasst: 22.10.2010 11:49
von Skandaloes
Danke schön!

Nein, ich nutze die implementierte BBCode möglichkeit des Forums.

Edit: was kann denn im schlimmsten Fall passieren, wenn ich den BBCode mit dem {TEXT} Token laufen lasse?

Re: BBCode Token probleme

Verfasst: 22.10.2010 16:45
von redbull254
Hallo erstmal,
Skandaloes hat geschrieben:
Edit: was kann denn im schlimmsten Fall passieren, wenn ich den BBCode mit dem {TEXT} Token laufen lasse?
Die Frage kannst Du Dir selber beantworten wenn Du einmal den Warnhinweis aufmerksam liest :
Dies ist ein möglicher Angriffspunkt für Cross-Site Scripting (XSS)
und dann Google um Rat bittest. ;-)

http://de.wikipedia.org/wiki/Cross-Site_Scripting
Cross-Site Scripting ist eine Art der HTML Injection. Cross-Site Scripting tritt dann auf, wenn eine Webanwendung Daten annimmt, die von einem Nutzer stammen, und diese Daten dann an einen Browser weitersendet, ohne den Inhalt zu überprüfen. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.

Re: BBCode Token probleme

Verfasst: 23.10.2010 09:36
von Skandaloes
Gut, das habe ich soweit verstanden. :wink:

Gibt es denn irgendeine Möglichkeit, meinen oben genannten Code so umzuschreiben, das er funktioniert und trotzdem sicher ist?

Skanda...
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de