Seite 1 von 1
Datei hochladen und umbenennen (Spielwiese)
Verfasst: 17. Jan 2007, 15:37
von fly2me
Datei hochladen und umbenennen.
Gebt mal als Dateiname ein
Code: Alles auswählen
<SCRIPT LANGUAGE='JavaScript'>document.write('</div> Hallo <H1>HALLO </H1> hallo');</script>
es wird ausgeführt. Ein Erfahrener Hacker könnte sich dort eventuell die config.php auslesen und anzeigen lassen!
Verfasst: 17. Jan 2007, 16:24
von fasse
Ich kann die nicht umbenennen, wie machst du das ?
Bei mir kommt berechtigterweise eine Meldung, dass ungültige Zeichen enthalten sind.
Verfasst: 17. Jan 2007, 16:36
von fly2me
Auf Download klicken, dann auf Umbenennnen, dort das einfügen.
Natürlich kommt die Ausgabe, das ungültige Zeichen enthalten sind, aber das Script wird ausgeführt! Schau dir die Meldung mal genau an.
Verfasst: 17. Jan 2007, 16:50
von fasse
Ahhhh, du hast natürlich Recht. Da hätte ich auch selber mal drauf kommen können.
Kommt auch noch in die Todo-Liste für den Release.
Config.php kann er zwar nicht auslesen, aber sämtlichen anderen Unfug dann anzeigen.
PS: Dieses Problem wird dann wohl noch an sämtlichen anderen Stellen auch auftreten :/
Ich denke mal, dass wir bei dieser Meldung einfach keine Ausgabe des Inhalts machen dürfen.
Verfasst: 18. Jan 2007, 15:27
von fasse
Der Dateiname wird nun nicht mehr ausgegeben. Somit kann auch kein Code eingeschleust werden.