security problem?? - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Johannes (19 Beiträge) am Mittwoch, 18.April.2001, 03:09.
    security problem??

      Wie geht das nun ??
      Ich habe schon versucht dieses Admin-Script mit Session ID aus der Bibliothek zu nehmen und in das Adressbuch-Script einzubauen, aber ich schaffe es nicht... :-(
      Wenn ihr den Quelltext oder die ursprüngliche Fragestellung braucht, schaut im ersten Artikel nach... :-)

      Naja, das wird wohl eben daran liegen, dass ich leider kein Perl kann und mich gerade erst einarbeite...
      BTW: Vielen Dank Marco! Aber es lief auch ohne geänderte Links! Komisch, nicht war?

      Mit freundlichen Grüssen Johannes


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Johannes (19 Beiträge) am Montag, 16.April.2001, 10:31.
    Frage zur "marcoweber's" Adressverwaltung

      Hallo Leute!

      Das ist der Quelltext von Marcoweber's Adressverwaltung:

      <perl>
      

      if($namerein ne "")
      {
      get "Name==!$namerein", "nutzer";
      

      if($Passwort ne "" && $Passwort eq $pwrein && $Schreiben eq "ja")
      {
      do_all "datacolor=404040 databack=FFFFFF dataface=verdana datasize=2 headback=404040 headbold=1 headcolor=00CCFF spacing=1 gridcolor=000000 border=0 sort^=Vorname range^=0,20 pagebrowse=no buttonbrowse=top,bottom indexfield=Vorname listtype=list listfields=Vorname,Name,Geburtstag,Strasse,PLZ,Ort input=link", "namerein", "pwrein", "Schreiben";
      }elsif($Passwort ne "" && $Passwort eq $pwrein && $Schreiben ne "ja")
      {
      do_all "datacolor=404040 databack=FFFFFF dataface=verdana datasize=2 headback=404040 headbold=1 headcolor=00CCFF spacing=1 gridcolor=000000 border=0 sort^=Vorname range^=0,20 pagebrowse=top,bottom buttonbrowse=top,bottom selectbrowse=no indexfield=Vorname listtype^=list listfields=-Aktion,Id,Telefon,Fax,Handy,EMail,Homepage,Anrede,Kommentar allfields=-Aktion,Id input=link", "namerein", "pwrein";
      

      out <<EOF;
      <SCRIPT language=JavaScript>  // Zugriffsverweigerung
       function click()
         { 
         if (event.button==2)
           { 
           alert('GESPERRT!! Redet mit Marco Weber um Rechts-Klick Rechte zu bekommen... :-)');
           } 
         if (event.button==3)
           { 
           alert('GESPERRT!! Redet mit Marco Weber um Rechts-Klick Rechte zu bekommen... :-)');
           } 
         }
       document.onmousedown=click
      </SCRIPT>
      

      <table cellpadding=2 cellspacing=1 border=0><tr><td></td><td bgcolor=404040 align=center>&nbsp;
      <a href=http://baseportal.de/cgi-bin/baseportal.pl?htx=/marcoweber/adresses/adressen&namerein=$namerein&pwrein=$pwrein&cmd=do_search target=main onmouseover="window.status='http://www.qxs.ch/adresses.htm'; return true" onmouseout="window.status=''"><font color=00CCFF><b>SUCHEN</b></font></a>&nbsp;</td>
      

      <td></td><td bgcolor=404040 align=center>&nbsp;
      <a href=http://baseportal.de/cgi-bin/baseportal.pl?htx=/marcoweber/adresses/adressen&namerein=$namerein&pwrein=$pwrein target=main onmouseover="window.status='http://www.qxs.ch/adresses.htm'; return true" onmouseout="window.status=''"><font color=00CCFF><b>ALLES</b></font></a>&nbsp;</td>
      

      <td></td><td bgcolor=404040 align=center>&nbsp;
      <a href=http://baseportal.de/cgi-bin/baseportal.pl?htx=/marcoweber/adresses/adressen&namerein=$namerein&pwrein=$pwrein&htx=/marcoweber/adresses/adressen&cmd=list&Id=$Numma&cmd=do_mod target=main onmouseover="window.status='http://www.qxs.ch/adresses.htm'; return true" onmouseout="window.status=''"><font color=00CCFF><b>PROFIL $namerein &Auml;ndern</b></font></a>&nbsp;</td></tr>
      <tr><td></td><td colspan=5 bgcolor=404040><table border=0 cellpadding=0 cellspacing=0><tr><td height=1></td></tr></table></td></tr>
      </table>
      EOF
      

      }
      }
      else
      {
      out "<font color=FFFFFF><b>Bitte g&uuml;ltige Anmeldedaten benutzen... :-)</b></font>";
      $namerein="";
      }
      

      if($namerein eq "")
      {
      out <<EOF;
      <h2>Anmeldung</h2>Bitte melden Sie sich an:
      <form action="http://baseportal.de/cgi-bin/baseportal.pl?htx=$htx" method="post" enctype="multipart/form-data">
      <input type=hidden name="htx=" value="$htx">
      <table>
      <tr><td>Name:</td><td><input type="text" name="namerein=" style="border-color:#303030; background-color:#202020; color:#FFFFFF; font-family:arial, helvetica; font-size:12px; font-weight:bold;"></td></tr>
      <tr><td>Passwort:</td><td><input type="password" name="pwrein=" style="border-color:#303030; background-color:#202020; color:#FFFFFF; font-family:arial, helvetica; font-size:12px; font-weight:bold;"></td></tr>
      <tr><td></td><td><input type=submit value="Anmelden" style="border-color:#303030; background-color:#202020; color:#FFFFFF; font-family:arial, helvetica; font-size:12px; font-weight:bold;"></td></tr>
      </table></form>
      EOF
      }
      </perl>
      


      Als ich Marco kontaktiert hatte und er mir alles erklärt hatte, läuft nun die Adressverwaltung auch bei mir! Jedoch hatte eine Sicherheitslücke gefunden, bei der mir Marco nicht helfen konnte:
      Wenn mich mit meinem Browser einlogge, dann bleiben die Links ja in der History... Wenn nun ein anderer User am PC ist kann er diesen Link eifnach aus der History holen und hat unter meinem Usernamen Zugang zur Adressverwaltrung.

      Um dieses Problem zu umgehen dachte ich mir, dass man im Link nicht nur den Username und das PW mitgibt, sondern auch eine zufallsgenerierte Zahl welche beim einloggen erstellt wird. Logt man sich aus wird eine neue Zufallszahl erstellt... Wie kann ich das machen??

      MFG Johannes

     Antworten

    Beitrag von Marco Weber (67 Beiträge) am Montag, 16.April.2001, 15:04.
    Re: Frage zur "marcoweber's" Adressverwaltung

      Hey Johni! :-)
      also du hast da wirklich eine gute frage gestellt! :-)
      Das würde mich auch interessieren!
      wenn du die lösung hast sendest du sie mir bitte per mail zu ??

      aber du hast immer noch nicht die links geändert!! wie ich es dir schon ein paar mal gesagt hatte! ;-)
      sonst geht alles, suchen und profil ändern nich...
      und die zeilen bei den links kanns te rausnehmen! ;-)
      onmouseover="window.status='http://www.qxs.ch/adresses.htm'; return true" onmouseout="window.status=''

      MFG Marco...

     Antworten

    Beitrag von Sander (8133 Beiträge) am Dienstag, 17.April.2001, 01:13.
    Re: Frage zur "marcoweber's" Adressverwaltung

      schaut mal in der bib unter nutzerverwaltung mit sessionid, kann auch unter einer spezifischen anwendung stehen.

      Sander

     Antworten

    Beitrag von Johannes (19 Beiträge) am Donnerstag, 19.April.2001, 01:03.
    Re: Frage zur "marcoweber's" Adressverwaltung

      Hallo Sander!
      Ich habe es versucht, kam aber zu keinem funktionierenden Ergebnis! :-(

      Kannst du mir beim Quelltext nicht helfen?

      Mit freundlichen Grüssen JOHANNES

     Antworten

    Beitrag von Johannes (19 Beiträge) am Mittwoch, 18.April.2001, 03:09.
    security problem??

      Wie geht das nun ??
      Ich habe schon versucht dieses Admin-Script mit Session ID aus der Bibliothek zu nehmen und in das Adressbuch-Script einzubauen, aber ich schaffe es nicht... :-(
      Wenn ihr den Quelltext oder die ursprüngliche Fragestellung braucht, schaut im ersten Artikel nach... :-)

      Naja, das wird wohl eben daran liegen, dass ich leider kein Perl kann und mich gerade erst einarbeite...
      BTW: Vielen Dank Marco! Aber es lief auch ohne geänderte Links! Komisch, nicht war?

      Mit freundlichen Grüssen Johannes

     Antworten


     
 Liste der Einträge von 63300 bis 63450:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.14s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!