Seite 1 von 2
Gast hat Code gepostet - Was bewirkt dieser?
Verfasst: 19.12.2004 18:51
von X-Box
Code: Alles auswählen
Private Sub Command1_Click()
Dim xptext As String
Dim num1 As Integer, num2 As Integer, num3 As Integer, num4 As Integer
num1% = 0
num2% = 100
num3% = 0
num4% = 100
1: xptext$ = xptext$ & "Zitat:
"
num1% = num1% + 1
If num1% = num2% Then GoTo 2 Else GoTo 1
2: xptext$ = xptext$ & "
"
num3% = num3% + 1
If num3% = num4% Then GoTo 3 Else GoTo 2
3: Clipboard.Clear
Clipboard.SetText xptext$
End Sub
Dieser Code wurde bei uns im Forum von einem Gast gepostet. Hab die Postings gleich wieder gelöscht. Nur interessiert mich jetzt was dieser Code bewirken soll.
Weiß von euch jemand rat?
Gruß
X-Box
Verfasst: 19.12.2004 19:21
von larsneo
+Details+
=========
This flaw could allow a malicious user
to alter the alignment and layout of any posts in the same thread as the exploit post.
The exploit just involves using an absurd amount of blank quotes in a single post.
'text is automaticly copied to the windows clipboard
'user just has to paste the text into a post to execute the exploit
der bei dir gepostete code ist allerdings (glücklicherweise) von einem script-kiddie unbrauchbar gemacht worden
Verfasst: 19.12.2004 19:25
von X-Box
Super, da konnte der Gast dann ja bei mir nix mehr anrichten!
Danke für den Hinweis.
Verfasst: 19.12.2004 19:34
von marino
larsneo hat geschrieben:
der bei dir gepostete code ist allerdings (glücklicherweise) von einem script-kiddie unbrauchbar gemacht worden
tjaja wenn wir die nicht hätten
Verfasst: 19.12.2004 20:41
von Matzelein
Äh, mal eine Frage:
Können Gäste etwas Java-Script posten, der ausgeführt wird? Kann doch nicht sein.
Verfasst: 19.12.2004 20:48
von larsneo
der (original)code ist lediglich eine 'helper' funktion um ein entsprechendes posting zu erstellen
Verfasst: 19.12.2004 20:48
von marino
doch matze das kann sein .. wenn du html komplett zulässt können javascripts gepostet werden .. und wenn diese nicht vom boardscript "entschärft " werden kann das böse ins auge gehn, da spielt es keine rolle ob das ein gast ist der das schreibt oder ein reg user...
hab das backup eines users in dem es nur so von javascripts wimmelt
Verfasst: 19.12.2004 20:54
von Sorcio
Hmm ich habe !immer! HTML aktiviert. Birgt das gefahren für den Server? oder nur für das forum.
Verfasst: 19.12.2004 20:58
von Matzelein
Sorcio hat geschrieben:Hmm ich habe !immer! HTML aktiviert. Birgt das gefahren für den Server? oder nur für das forum.
Siehe oben, man kann Scripts ausführen.
Danke marino, html habe ich komplett deaktiviert.
Verfasst: 19.12.2004 21:01
von marino
hmm ich bin der meinung das , wenn der passende code abgesetzt wird -und dieser nicht vom script "entschärft" wird- sich dieser auch auf dem server auswirken kann, kommt halt auch mit darauf an wieweit der abgesichert ist ... server von grossen hostern wie 1&1, allinklusiv, funpic, netroom etc werden da wohl abgesichert sein aber es gibt genug private server die irgendwo daheim stehen oder in einer firma etc.. und ob die passend gesichert sind .. .. ??
wobei dazugesagt werden sollt das man mit java selber wohl nicht viel anrichten kann .. ausser das es ein absolut geniales tool ist um viren etc einzuschleusen .. allerdings glaub ich das da echte "java-" experten mehr dazu sagen können