Wie findet ihr meine Seite?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #31
    Für alle:
    PHP-Code:
    <?
    if(preg_match("#\\.\\.#",$HTTP_GET_VARS[site]) || substr($HTTP_GET_VARS[site],1,1)=="/")
        {    
        $site = "content/home.php";
        }
    if($site == "")
        {
        $site = "content/home.php";
        }
    include("$site");
    ?>
    Das blockt jetzt alles was ../ vorne hat.
    *winks*
    Gilbert
    ------------------------------------------------
    Hilfe für eine Vielzahl von Problemen!!!
    http://www.1st-rootserver.de/

    Kommentar


    • #32
      @Benni-one:

      Mach GANZ DRINGEND was !!!

      auf das "drop table ..." verzichte ich mal in der Datenbank "db3843****",
      das Passwort ist ja ziemlich kalt !
      TBT

      Die zwei wichtigsten Regeln für eine berufliche Karriere:
      1. Verrate niemals alles was du weißt!


      PHP 2 AllPatrizier II Browsergame

      Kommentar


      • #33
        @Wotan:

        das reicht bei weitem nicht, der Webspace ist offen wie nen Scheunentor !
        TBT

        Die zwei wichtigsten Regeln für eine berufliche Karriere:
        1. Verrate niemals alles was du weißt!


        PHP 2 AllPatrizier II Browsergame

        Kommentar


        • #34
          ein einfaches strstr($url, "../") sollte auch reichen (hoffe ich)

          php-Entwicklung | ebiz-consult.de
          PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
          die PHP Marktplatz-Software | ebiz-trader.de

          Kommentar


          • #35
            Mich erinnert es an js-welt.de
            PHP Poll Creator

            Kommentar


            • #36
              was war da?

              php-Entwicklung | ebiz-consult.de
              PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
              die PHP Marktplatz-Software | ebiz-trader.de

              Kommentar


              • #37
                so, mal nen bissel Sicherheit.
                Ihr habt alle die 3. Bedingung vergessen, welche das größte Loch darstellt

                PHP-Code:
                if   (     !(strpos($HTTP_GET_VARS['site'],".."===false))                // alles was auf höhere Verzeichnisse zugreift
                        
                || substr($HTTP_GET_VARS['site'],0,1)=="/"        // alles was auf doc-root zugreift
                        
                || strpos($HTTP_GET_VARS['site'],"://")            // alles was Scripte von anderen Servern includet
                        
                || !isset($HTTP_GET_VARS['site'])                // keine Seite übergeben
                        
                || !$HTTP_GET_VARS['site']                        // übergebene Seite ist leer
                        
                || !file_exists($HTTP_GET_VARS['site'])            // Datei gibt es nicht
                    
                ) {
                    
                $HTTP_GET_VARS['site']="meinStandard";

                Zuletzt geändert von TBT; 07.11.2002, 09:05.
                TBT

                Die zwei wichtigsten Regeln für eine berufliche Karriere:
                1. Verrate niemals alles was du weißt!


                PHP 2 AllPatrizier II Browsergame

                Kommentar


                • #38
                  PHP-Code:
                  <?
                  if(!(strpos($HTTP_GET_VARS['site'],".."===false))    // alles was auf höhere Verzeichnisse zugreift
                  || substr($HTTP_GET_VARS['site'],0,1)=="/"            // alles was auf doc-root zugreift
                  || strpos($HTTP_GET_VARS['site'],"://")                // alles was Scripte von anderen Servern includet
                  || !isset($HTTP_GET_VARS['site'])                    // keine Seite übergeben
                  || !$HTTP_GET_VARS['site']                            // übergebene Seite ist leer
                  || !file_exists($HTTP_GET_VARS['site'])                // Datei gibt es nicht
                  )
                      {
                      $HTTP_GET_VARS['site']="content/home.php";
                      }
                  include_once($HTTP_GET_VARS['site']);
                  ?>
                  Es läst jetzt kein index.php?site=http://www.meine-domain.de durch
                  Es läst jetzt kein index.php?site=../etc/passwd durch

                  Mach ich das ! rein greifen die Regel. Aber nicht meine Links.
                  Nehme ich das Raus komme ich ans etc und meine Links gehen.
                  *winks*
                  Gilbert
                  ------------------------------------------------
                  Hilfe für eine Vielzahl von Problemen!!!
                  http://www.1st-rootserver.de/

                  Kommentar


                  • #39
                    So nun ist es zu das Loch:
                    PHP-Code:
                    <?
                    if(preg_match("#\.\.#",$HTTP_GET_VARS[site])    // alles was auf höhere Verzeichnisse zugreift
                    || substr($HTTP_GET_VARS['site'],0,1)=="/"            // alles was auf doc-root zugreift
                    || strpos($HTTP_GET_VARS['site'],"://")                // alles was Scripte von anderen Servern includet
                    || !isset($HTTP_GET_VARS['site'])                    // keine Seite übergeben
                    || !$HTTP_GET_VARS['site']                            // übergebene Seite ist leer
                    || !file_exists($HTTP_GET_VARS['site'])                // Datei gibt es nicht
                    )
                        {
                        $HTTP_GET_VARS['site']="content/home.php";
                        }
                    include_once($HTTP_GET_VARS['site']);
                    ?>
                    *winks*
                    Gilbert
                    ------------------------------------------------
                    Hilfe für eine Vielzahl von Problemen!!!
                    http://www.1st-rootserver.de/

                    Kommentar


                    • #40
                      was soll ich tun?? jeder kann das passwort meiner dp rauskriegen??

                      was soll ich sagen, wenn ich bei puretec anrufe???
                      Sunshine CMS
                      BannerAdManagement
                      Borlabs - because we make IT easier
                      Formulargenerator [color=red]Neu![/color]
                      Herkunftsstatistik [color=red]Neu![/color]

                      Kommentar


                      • #41
                        benutze einfach den Code, den Wotan direkt über dir gepostet hat
                        TBT

                        Die zwei wichtigsten Regeln für eine berufliche Karriere:
                        1. Verrate niemals alles was du weißt!


                        PHP 2 AllPatrizier II Browsergame

                        Kommentar


                        • #42
                          ähhh wotan, wie wende ich das jetzt bei meiner seite an, mit der $id????

                          danke wotan für den code
                          Sunshine CMS
                          BannerAdManagement
                          Borlabs - because we make IT easier
                          Formulargenerator [color=red]Neu![/color]
                          Herkunftsstatistik [color=red]Neu![/color]

                          Kommentar


                          • #43
                            Komm mal per Mail!
                            *winks*
                            Gilbert
                            ------------------------------------------------
                            Hilfe für eine Vielzahl von Problemen!!!
                            http://www.1st-rootserver.de/

                            Kommentar


                            • #44
                              ja dann schick mir ne email an benny@4webmaster.net ok??
                              Sunshine CMS
                              BannerAdManagement
                              Borlabs - because we make IT easier
                              Formulargenerator [color=red]Neu![/color]
                              Herkunftsstatistik [color=red]Neu![/color]

                              Kommentar


                              • #45
                                Wurde schon erwähnt, dass es im Firebird nur über Tab möglich ist, zu navigieren?

                                Kommentar

                                Lädt...
                                X