Trojaner in Website
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angreifer
beispiel
code
datei
email
fehler
frage
header
http
idee
inhalt
jemand
nachricht
problem
server
string
system
teil
url
wissen
-
tecfreak schrieb:
Soll ich deine ganzen Lücken mal auflisten?
XSS:
1:
/* URL aus Sicherheitsgründen entfernt */
2:
/* URL aus Sicherheitsgründen entfernt */
(Bei Photos, media, system, gästebuch, tickets, js geht das auch)
Also vielen Dank mal für die Hinweise (obwohl ich fatfreddy zustimmen muss, dass das in einer PN wohl besser aufgehoben wäre)
Dieses verhalten auf der 404 Seite kommt daher, dass einfach der erste Teile der URL ausgegeben wird, ohne irgendwie speziell behandelt zu werden.
Kurze Information dazu:
Die Seite verwendet mod-rewrite URLs, diese sind im Prinzip auf 4 Ebenen beschränkt (also metal-outbreak.at/Ebene1/Ebene2/Ebene3/Ebene4) und werdem dem Script als $_GET Parameter übergeben (a,b,c und d)
Die 404-Seite gibt nun einfach folgendes aus
<p style="text-align:center;"> Leider haben wir die Seite "<?php echo $_GET['a']; ?>" nicht gefunden!<br /> Möglicherweiße ist der Inhalt nicht mehr verfügbar oder der Link ist falsch!<br /> </p>
Ich weiß, dass das ich da noch was machen muss, aber, Schreibzugriff auf eine Datei ist daduch (meines Wissens nach) unmöglich zu erhalten, oder übersehen ich hier etwas?
tecfreak schrieb:
Außerdem hast du eine Blind SQLi:
1:
/* URL aus Sicherheitsgründen entfernt */
Stimmt, in dem Modul muss noch einiges geändert werden, dass Sicherheitsrelevant ist, vielen Dank, werd ich sofort offline nehmen.
Beitrag zuletzt geändert: 28.11.2013 16:15:02 von cbhp -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
freezinger schrieb:
Nein, nur geht es bei XSS auch nicht um Schreibzugriff, sondern eher darum, beim Besucher irgendetwas unerwünschtes zu erzielen, z.B. seine Benutzerdaten (Username, Passwort) zu stehlen.
Ich weiß, dass das ich da noch was machen muss, aber, Schreibzugriff auf eine Datei ist daduch (meines Wissens nach) unmöglich zu erhalten, oder übersehen ich hier etwas?
Wenn du deinen Code so ausbesserst, ist das aber schon behoben:<p style="text-align:center;"> Leider haben wir die Seite "<?php echo htmlspecialchars($_GET['a']); ?>" nicht gefunden!<br /> Möglicherweiße ist der Inhalt nicht mehr verfügbar oder der Link ist falsch!<br /> </p> -
hackyourlife schrieb:
Nein, nur geht es bei XSS auch nicht um Schreibzugriff, sondern eher darum, beim Besucher irgendetwas unerwünschtes zu erzielen, z.B. seine Benutzerdaten (Username, Passwort) zu stehlen.
Okay.
Das ursprüngliche Problem war jedoch die plötzlich infizierte jQuery.js
hackyourlife schrieb:
Wenn du deinen Code so ausbesserst, ist das aber schon behoben:<p style="text-align:center;"> Leider haben wir die Seite "<?php echo htmlspecialchars($_GET['a']); ?>" nicht gefunden!<br /> Möglicherweiße ist der Inhalt nicht mehr verfügbar oder der Link ist falsch!<br /> </p>
Danke, wird umgehend ausgebessert. -
Oder du nimmst strip_tags(). Ist bei deinem beispiel nicht nötig aber strip_tags() sieht manschmal schöner aus und man kann auch HTML Codes ausschließen die Benutzt werden dürfen.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
