Neueste Beiträge
Erste Seite | « | 1 ... 3968 | 3969 | 3970 | 3971 | 3972 ... 5457 | » | Letzte
Die Suche lieferte 54567 Ergebnisse:
Re: Wortbausteine
von EinfachNurA am 08.05.2014 00:00Willenkraft
EinfachNurAs Blog
"Ohne A wären wir nicht nur alle aufgeschmissen, das Leben wäre auch weniger schön." - SirPadras
Antworten
Re: nervige Leerzeile!
von koali am 07.05.2014 23:25schreib sie doch mal an udn weise sie auf die sicherheitslücke hin... 
DickeFleisc...
Gelöschter Benutzer
Re: nervige Leerzeile!
von DickeFleischwurst am 07.05.2014 23:23Hehe ich würde mich durch die SQL Injection selber zum Admin machen und zwar von der ganzen Datenbank. 
Aber ich hoffe echt, dass die nicht so doof waren hier den User mit dem in die DB geschrieben wird mit Adminrechten versehen zu haben. Echt kein Witz, so etwas ist schon unzählige male vorgekommen, weil man zu faul war einen separaten User anzulegen oder weil eine Testversion/Prototyp zu eine Produktionsversion geworden ist.
DickeFleisc...
Gelöschter Benutzer
Re: nervige Leerzeile!
von DickeFleischwurst am 07.05.2014 23:08 Man kann wohl auch direkt hier HTML Code einfügen, die dann die Anzeige des Browsers manipuliert.
So etwas ist immer sehr gefährlich, weil es ein Anzeichen dafür ist, dass SQL Injection betrieben werden kann.
http://nerdpol.yooco.de/forum/edit_thread.html?thread_id=12463702
Erzeugt vielleicht intern den folgenden Ausdruck, um das Posting aus der Datenbank zu lesen.
Erzeugtes SQL SELECT author, subject, text FROM thread WHERE ID=12463702;
Was hindert mich einfach mal die Abfrage etwas zu frisieren?
http://nerdpol.yooco.de/forum/edit_thread.html?thread_id=12463702 UPDATE USER SET TYPE="admin" WHERE name='DickeFleischwurst';
Ich schiebe dem WebServer also ein SQL unter, welches ich nie hätte ausführen dürfen.
Tja so laufe ich dem Koali seinen Rang ab. :-D
Noch schlimmer, denn die User Tabelle ist eine interne Tabelle von MySQL und dann kann ich auch auf andere Foren zugreifen und das wird den yooco Admins bestimmt nicht gefallen. https://dev.mysql.com/doc/refman/5.1/de/adding-users.html
DickeFleisc...
Gelöschter Benutzer
Re: nervige Leerzeile!
von DickeFleischwurst am 07.05.2014 23:00Hallo,
ok dann will ich mal den Erklärbär machen.
Wenn man sich die Seite, die durch den Web Server als statischer Content an den Client (eure Browser) geschickt wird, auf Quellcode Ebene ansieht, dann stellt man schnell fest, dass die Leerzeile durch ein nicht nötigen < p >
erzeugt wird. Normalerweise steht da nur ein Tag. In dem code steht jedoch folgendes:
< p > < p > Dein Text < / p> < / p >
Im CSS Code der Seite findet sich auch ein Stylesheet welches dieses Verhalten jedoch nicht überschreibt.
Das ist einfach schlecht programmiert. Ich schätze mal, ohne den PHP Code gesehen zuhaben, dass der Rückgabewert aus der Datenbank, in dem dein Posting gespeichert wird durch mehrere Funktionen gereicht wird und dort dann einmal zu viel das < p > Tag konkateniert wird.
Wenn man sich über die Übersichtseite den erstellten Post ansieht (hier gibt es die Leerzeile nicht), dann sieht man folgenden Code.
< p > Dein Text < / p >
Mein Fazit: Bug im Code.
Reicht das als Erklärung?
Gruß
Df