Das Jebuch ist ein PHP-Gästebuch. Dieses wurde von Jan Erdmann für Je0.de
gecodet. Das Script ist seit dem Jahr 2000 in 3 Versionen erschienen und im web
relativ weit verbreitet. In diesem Gästebuch gibt es auch eine HTML-Sperre.
Damit soll verhindert werden, dass HTML-Befehle ausgeführt werden können.
Es gibt aber die Funktion BBCode die es erlaubt modifizierte HTML-Befehle
einzubauen.
Damit lassen zum Beispiel Links, Bilder oder Kursiv- oder Fettschrift einfügen.
Beschreibung:
Wie schon eben beschrieben kann man mit dem BBCode Bilder einbauen. Das könnte folgendermaßen
so aussehen.
[img]bilder/smilies/quasi.gif[/img]
Hier versteckt sich auch der eigentliche Bug. Man könnte nun den Code etwas
modifizieren und somit einen beliebigen Java-Script im Gästebuch ausführen
lassen.
Man könnte nun das Gästebuch auf eine x-beliebige andere Seite umleiten. Das würde
dann so aussehen:
Hier noch eine kleine Erklärung für diesen BBCode:
Es soll das Bild "?" geladen werden (was nicht existieren kann), falls
dabei ein Fehler auftritt wird man auf die Seite http://www.domain.com
weitergeleitet.
Jeder der nur ein wenig HTML und Java-Script Kenntnisse besitzt könnte nun alle
möglichen Spielereien in jedes dieser Gästebücher einbauen.
Lösungsvorschlag:
Suche in der jebuch.php3 nach:
echo $daten[$b+7];
und füge davor
$daten[$b+7]=addslashes($daten[$b+7]);
ein.
Jetzt werden alle Anführungszeichen so ersetzt, dass HTML nicht mehr ausgeführt
werden kann.
Wer den text nutzt ist für die Folgen selbst verantwortlich.
Hinweis
: Das lesen des Artikels JeBuch Hack
- listings ID: 581
auf Dreamcodes,
sowie Link Verweise auf Internetseiten
fremder Anbieter erfolgen auf eigene Gefahr. Dreamcodes
haftet nicht für Schäden, die aus der Verwendung des
Inhaltes der Artikel erfolgen könnten. Schadenersatzansprüche, aus welchem
Rechtsgrund auch immer, sind ausgeschlossen !
Live Statistik
Datum: 22.11.2024
Uhrzeit: 02:12 Uhr
Online: 50 User
User heute: 3888
User allgem.: 35314545
Home
Startseite
Tutorials
Die Möglichkeit diesen Artikel zu verlinken
: