Kommentare zu: Wikiling http://drailing.net/index.php/2009/06/wikiling/ informatik, entwicklung, codeschnipsel und studium - von und mit dreiling Fri, 13 Jan 2012 12:38:38 +0000 hourly 1 http://wordpress.org/?v=3.3 Von: Knabe unterwegs… nach Istanbul! « drailing.net http://drailing.net/index.php/2009/06/wikiling/comment-page-1/#comment-47 Knabe unterwegs… nach Istanbul! « drailing.net Mon, 14 Sep 2009 13:32:33 +0000 http://www.drailing.net/?p=141#comment-47 [...] Für diese Aktion habe ich Ihm mein CMS “Wikiling” etwas umgeschrieben in das er Fotos postet, ein kleines Reisetagebuch schreibt, unmengen an [...] [...] Für diese Aktion habe ich Ihm mein CMS “Wikiling” etwas umgeschrieben in das er Fotos postet, ein kleines Reisetagebuch schreibt, unmengen an [...]

]]> Von: dreiling http://drailing.net/index.php/2009/06/wikiling/comment-page-1/#comment-22 dreiling Thu, 04 Jun 2009 18:54:41 +0000 http://www.drailing.net/?p=141#comment-22 aha! und ich war schon am fluchen dass man kaum was online hat und die scriptkiddys wieder unterwegs sind :-) aber hast recht, was sicherheit angeht sind wa noch am basteln, wer erwartet auch dass du da gleich mit harten bandagen rangehst.... pfui sag ich da! ;-) fürs erste werden wa das mit regular expressions ausschliessen bis mal mehr zeit is für nen größeres sicherheitsupdate. und nich böse sein dass ich die links rausgenommen hab, aber man muss ja niemanden dazu anstiften ;-) bis morgen! aha! und ich war schon am fluchen dass man kaum was online hat und die scriptkiddys wieder unterwegs sind :-)

aber hast recht, was sicherheit angeht sind wa noch am basteln, wer erwartet auch dass du da gleich mit harten bandagen rangehst…. pfui sag ich da! ;-)

fürs erste werden wa das mit regular expressions ausschliessen bis mal mehr zeit is für nen größeres sicherheitsupdate.

und nich böse sein dass ich die links rausgenommen hab, aber man muss ja niemanden dazu anstiften ;-)

bis morgen!

]]> Von: robo47 http://drailing.net/index.php/2009/06/wikiling/comment-page-1/#comment-21 robo47 Thu, 04 Jun 2009 18:38:45 +0000 http://www.drailing.net/?p=141#comment-21 ich hab den böse Verdacht dass Eingaben vor dem eintragen nicht überprüft (in diesem Fall zumindest escapt) werden, zumindest resultiert eine kategorie baa'foo nicht in das anlegen einer Kategorie und es kommt keine fehlermeldung und nichts. Wenn man einen Eintrag editieren will spuckt das System sogar die probleme aus: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '33'' at line 2 UPDATE wikiling SET cat_content = '''' ' WHERE id = '33' Ein einmal editierter eintrag kann wohl nicht mehr editiert werden und ganz böse -> XSS siehe auch das aktuelle popup das man jetzt bekommt :) Also was sicherheit angeht müsst ihr da definitiv noch einiges lernen und tun Man sieht sich morgen, dann hab ich vielleicht ein paar Tips für euch :) mfg robo47 ich hab den böse Verdacht dass Eingaben vor dem eintragen nicht überprüft (in diesem Fall zumindest escapt) werden, zumindest resultiert eine kategorie baa’foo nicht in das anlegen einer Kategorie und es kommt keine fehlermeldung und nichts.

Wenn man einen Eintrag editieren will spuckt das System sogar die probleme aus:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ’33” at line 2

UPDATE wikiling SET cat_content = ”” ‘ WHERE id = ’33′

Ein einmal editierter eintrag kann wohl nicht mehr editiert werden

und ganz böse -> XSS
siehe auch das aktuelle popup das man jetzt bekommt :)

Also was sicherheit angeht müsst ihr da definitiv noch einiges lernen und tun

Man sieht sich morgen, dann hab ich vielleicht ein paar Tips für euch :)

mfg
robo47

]]>