php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS Probleme mit HTML5, Bootstrap oder jQuery ?

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 28-10-2014, 22:52
chubbysonne
 Registrierter Benutzer
Links : Onlinestatus : chubbysonne ist offline
Registriert seit: Jun 2010
Ort: Dortmund
Beiträge: 30
chubbysonne befindet sich auf einem aufstrebenden Ast
chubbysonne eine Nachricht über ICQ schicken chubbysonne eine Nachricht über MSN schicken chubbysonne eine Nachricht über Yahoo! schicken
Standard fehlerhinweiss bitte um hilfe

beim aufrufen der domain bekomme ich folgenden fehler angezeigt, finde selbst den fehler dort leider nicht

PHP-Code:
<?
extract
($_REQUEST);


if (
$merken=="ja") {$speichern30 24 60 60;
setcookie("HomoTownUser""$benutzername"time()+$speichern);
setcookie("HomoTownPass""$passwort"time()+$speichern);
}
include 
"config.php";
include 
"functions.php";
if (!isset(
$pcolor)) $pcolor"1";
if (
$pcolor == "1"$color "http://www.php-resource.de/forum/images/orange";
if (
$pcolor == "2"$color "http://www.php-resource.de/forum/images/green";
if (
$pcolor == "3"$color "http://www.php-resource.de/forum/images/blue";
if (!isset(
$open)) $open "index-startseite";
  if (
$open == "config"$open "home5";
  if (
$open == "index"$open "home5";
if (
file_exists($open.".php")) {
    include(
$open.".php");
  } else {
  
generate_errorpage("Modul noch nicht aktiviert!");
}

?>
danke im vorfeld für eure hilfestellung
Mit Zitat antworten
  #2 (permalink)  
Alt 29-10-2014, 00:20
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.593
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Hoffentlich ist das Script nicht online. Das ist eine riesige Sicherheitslücke.

1. extract($_REQUEST) ist ganz böse. Dadurch holst du dir Nachteile ins Haus, die schon lange aus PHP entfernt wurden (Register Globals).

2. Du inkludierst die Variable $open, die einen Wert enthält, der vom Client stammt. Vertraue niemals einem Wert vom Client! Dadurch, dass du den Wert blind includest, kann man dir möglicherweise Fremdcode unterjubeln.

Geändert von h3ll (29-10-2014 um 00:51 Uhr)
Mit Zitat antworten
  #3 (permalink)  
Alt 29-10-2014, 00:46
chubbysonne
 Registrierter Benutzer
Links : Onlinestatus : chubbysonne ist offline
Registriert seit: Jun 2010
Ort: Dortmund
Beiträge: 30
chubbysonne befindet sich auf einem aufstrebenden Ast
chubbysonne eine Nachricht über ICQ schicken chubbysonne eine Nachricht über MSN schicken chubbysonne eine Nachricht über Yahoo! schicken
Standard fehlerhinweiss bitte um hilfe

das script hat ne firma mir verkauft und nun stellen die sich an für den support die werden doch keine software mit sicherheitslücken verkaufen dann wären sie doch doof was da für anzeigen ins haus flattern würden. PHP Scripte - Professionelle PHP-Software und Web Anwendungen von Hi Web Wiesbaden
Mit Zitat antworten
  #4 (permalink)  
Alt 29-10-2014, 00:53
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.593
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von chubbysonne Beitrag anzeigen
das script hat ne firma mir verkauft und nun stellen die sich an für den support die werden doch keine software mit sicherheitslücken verkaufen dann wären sie doch doof was da für anzeigen ins haus flattern würden.
Das war übrigens nicht die einzige Sicherheitslücke. Passwörter haben im Cookie nichts verloren.

Also ich kann nur davon abraten diesen Code zu verwenden.

Geändert von h3ll (29-10-2014 um 00:56 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 29-10-2014, 00:57
chubbysonne
 Registrierter Benutzer
Links : Onlinestatus : chubbysonne ist offline
Registriert seit: Jun 2010
Ort: Dortmund
Beiträge: 30
chubbysonne befindet sich auf einem aufstrebenden Ast
chubbysonne eine Nachricht über ICQ schicken chubbysonne eine Nachricht über MSN schicken chubbysonne eine Nachricht über Yahoo! schicken
Standard fehlerhinweiss bitte um hilfe

weil sie selbst haben es ja auch bei sich laufen sind denn da die gleichen fehler lücken? Gay Community
Mit Zitat antworten
  #6 (permalink)  
Alt 29-10-2014, 01:00
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.593
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von chubbysonne Beitrag anzeigen
weil sie selbst haben es ja auch bei sich laufen sind denn da die gleichen fehler lücken? Gay Community
Die Seite ist auch noch anfällig für SQL-Injections. Offen wie ein Scheunentor. Mit ein bisschen böser Absicht könnte man da viel Schaden anrichten.

Edit:

Mit ein bisschen Aufwand (ca. 1 Minute) konnte ich mich gerade auf der Seite als Admin einloggen und hab vollen Zugang zu allen Daten.

Geändert von h3ll (29-10-2014 um 01:04 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 29-10-2014, 01:20
chubbysonne
 Registrierter Benutzer
Links : Onlinestatus : chubbysonne ist offline
Registriert seit: Jun 2010
Ort: Dortmund
Beiträge: 30
chubbysonne befindet sich auf einem aufstrebenden Ast
chubbysonne eine Nachricht über ICQ schicken chubbysonne eine Nachricht über MSN schicken chubbysonne eine Nachricht über Yahoo! schicken
Standard fehlerhinweiss bitte um hilfe

kann man da rechtlich vorgehen um den kauf rückgängig zu machen auf grund dessen sicherheits risikos?
Mit Zitat antworten
  #8 (permalink)  
Alt 29-10-2014, 17:18
Wasser_Wanderer
 Registrierter Benutzer
Links : Onlinestatus : Wasser_Wanderer ist offline
Registriert seit: Aug 2011
Beiträge: 225
Wasser_Wanderer befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von chubbysonne Beitrag anzeigen
kann man da rechtlich vorgehen um den kauf rückgängig zu machen auf grund dessen sicherheits risikos?
Versuchmal eine Software von Mircosoft (zB Excel) zurückzugeben, weil da eine Sicherheitslücke ist

Mit dem Kauf einer Software hast Du auch die AGB,s akzeptiert.

Gruss WW
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
BITTE BITTE um Hilfe sparkie Apps und PHP Script Gesuche 2 12-07-2006 12:30
Bitte Bitte Hilfe mischko PHP Developer Forum 8 09-02-2006 19:37
bin absoluter neuling! kann mir bitte jemand mal ein script erklären! BITTE BITTE somebody1981 Projekthilfe 3 26-07-2005 01:28
bitte um hilfe............ Mac Force Projekthilfe 6 28-06-2002 01:29
BITTE BITTE HILFE Chillmaster PHP Developer Forum 7 21-01-2002 18:18

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:12 Uhr.