Datei hochladen und umbenennen (Spielwiese)

fly2me · Beitrag von **fly2me** » 17. Jan 2007, 15:37

Datei hochladen und umbenennen.

Gebt mal als Dateiname ein

<SCRIPT LANGUAGE='JavaScript'>document.write('</div> Hallo <H1>HALLO </H1> hallo');</script>

es wird ausgeführt. Ein Erfahrener Hacker könnte sich dort eventuell die config.php auslesen und anzeigen lassen!

Beitrag von **fasse** » 17. Jan 2007, 16:24

Ich kann die nicht umbenennen, wie machst du das ?

Bei mir kommt berechtigterweise eine Meldung, dass ungültige Zeichen enthalten sind.

fly2me · Beitrag von **fly2me** » 17. Jan 2007, 16:36

Auf Download klicken, dann auf Umbenennnen, dort das einfügen.
Natürlich kommt die Ausgabe, das ungültige Zeichen enthalten sind, aber das Script wird ausgeführt! Schau dir die Meldung mal genau an.

Beitrag von **fasse** » 17. Jan 2007, 16:50

Ahhhh, du hast natürlich Recht. Da hätte ich auch selber mal drauf kommen können.

Kommt auch noch in die Todo-Liste für den Release.

Config.php kann er zwar nicht auslesen, aber sämtlichen anderen Unfug dann anzeigen.

PS: Dieses Problem wird dann wohl noch an sämtlichen anderen Stellen auch auftreten :/

Ich denke mal, dass wir bei dieser Meldung einfach keine Ausgabe des Inhalts machen dürfen.

Beitrag von **fasse** » 18. Jan 2007, 15:27

Der Dateiname wird nun nicht mehr ausgegeben. Somit kann auch kein Code eingeschleust werden.