anpera.net

Biostring von onClick Attributen bereinigen, das dürfte ja nicht so schwer sein. Aber es stimmt schon, Scheiße lässt sich viel bauen. Nur wissen das die meisten User nicht und das ist auch gut so

Und wenn es einer macht, kriegt er eben nen Kickban ^^

_________________
$this->bbcode_second_pass_code('', '(define-record-procedures choco-cookie
make-choco-cookie choco-cookie?
(choco-cookie-choco
choco-cookie-cookie))

(define Prinzenrolle
(make-choco-cookie choco-cookie-choco-standard (* 2 choco-cookie-cookie-standard)))')

ich hab bei mir diese expliziet untersagt.. funzt auch *danke nochmal an aristo fürs java in bio werfen bis nix mehr ging * in der biodiary.php ist das auch in die funktion integriert

_________________
~Inaktiv und Abwesend solange Mysql hier Moderatorenrechte hat~

Wenn dich jemand nicht leiden kann und er deinen Server putt machen will und nicht dumm ist, ist ihm das sicher doch recht egal würde ich mal behaupten

LG, Eichi

_________________
Ist es nicht die Weisheit, die ein Mensch zu erlangen sucht?!
Der Knochen kommt nicht von alleine zum Hund, schön wärs ._.

Schokopudding, der sich von alleine kochen kann.......


BLUBBBEL!

Vielleicht hilft das ja, ist leider noch ungetestet.
$this->bbcode_second_pass_code('', 'var rFunc= function() {
return false;
};
function onClick(clk,url) {
while(clk.tagName && clk.tagName!='tr') {
clk=clk.parentNode;
if(clk.tagName && clk.tagName.toLowerCase()=='tr') {
if(url==false) clk.onclick=rFunc;
else clk.onclick=document.location.href=url;
}
}
}')
und im <textarea>-Tag folgendes:
$this->bbcode_second_pass_code('', 'onclick=\"onClick(this,false)\"')
mal schauen ... vllt. kann mir ja auch jemand direkt sagen ob es so zu verhindern ist.
Sicher ist Sicher, auf die Unwissenheit mancher User will man dann doch nicht vertrauen.

_________________
Legend of the Green Dragon - Die Mysterien um Ched Nasad

Mich mag aber jeder
Ne im Ernst:

Eben alles filtern, was zu filtern geht. Ich werde meine Biographie im Laufe der Semesterferien sowieso noch überarbeiten, wo ich auch sämtliche Filterelemente einbauen werde. Also onClick etc herausfiltern, alles was gefährlich werden könnte.

Jemand mit Ahnung (ich hab die da net so) könnte hier ja mal kurz offenlegen, was so alles gefährlich werden könnte. Also onClick auf jeden Fall, das ist eigentlich klar. Ich kenn mich allerdings gar nicht bei JS aus, was wiederum heißt, dass ich kein Plan hab, wann und wie man das in HTML integriert^^.

_________________
$this->bbcode_second_pass_code('', '(define-record-procedures choco-cookie
make-choco-cookie choco-cookie?
(choco-cookie-choco
choco-cookie-cookie))

(define Prinzenrolle
(make-choco-cookie choco-cookie-choco-standard (* 2 choco-cookie-cookie-standard)))')

$this->bbcode_second_pass_code('', '/**
* Allow these tags in Silienta sind bestimmte html codes zum einfügen von Bildern und Absätze per Entertaste erlaubt
*/
$allowedTags='<br><b><h1><h2><h3><h4><i><hr>' .
'<img><li><ol><p><strong><table>' .
'<tr><td><th><u><ul><div><span><center><font><size><p><iframe><img>';

/**
* Disallow these attributes/prefix within a tag (Sicherheitsfix um ausführbare Javascripte zu unterbinden)
*/
$stripAttrib = 'javascript&#058;|onclick|ondblclick|onmousedown|onmouseup|onmouseover|'.
'onmousemove|onmouseout|onkeypress|onkeydown|onkeyup|onabort|'.
'onfocus|onload|onblur|onchange|onerror|onreset|onselect|obsubmit|onunload|style';

/**
* @return string
* @param string
* @desc Strip forbidden tags and delegate tag-source check to removeEvilAttributes()
*/
function removeEvilTags($source,$iframe_allowed)
{
global $allowedTags;
if($iframe_allowed == 1) $allowedTags.= "<iframe>";
$source = strip_tags($source, $allowedTags);

return preg_replace('/<(.*?)>/ie', "'<'.removeEvilAttributes('\\1').'>'", $source, $allowedTags);
}

/**
* @return string
* @param string
* @desc Strip forbidden attributes from a tag
*/
function removeEvilAttributes($tagSource)
{
global $stripAttrib;
return stripslashes(preg_replace("/$stripAttrib/i", 'forbidden', $tagSource));
}')

die hab ich gefiltert.. wenn ihr noch welche kennt bitte melden

_________________
~Inaktiv und Abwesend solange Mysql hier Moderatorenrechte hat~

EDIT: Blöede Idee, hat sich erledigt

LG, Eichi

_________________
Ist es nicht die Weisheit, die ein Mensch zu erlangen sucht?!
Der Knochen kommt nicht von alleine zum Hund, schön wärs ._.

Schokopudding, der sich von alleine kochen kann.......


BLUBBBEL!

Rikka du könntest noch das ';' blocken, denn das meißte an Javaskcript zegs benötigt das :p

udn btw ;p ähm verrätst du wie man dien code schnippsel einbaut? x) denn sowas such ich schon die ganze zeit und hab zz grad ne notlösung drin die die ganze bio sperrt solang ein oder mehr ; drin vorhanden sind.

wie wirkt sich denn dein code da aus? also Ändert es die bösen worte in der DB? oder filtert & ersetzt es nur die ausgabe?

ps: ich würde noch diverse dateiendungen blicken wie: .php, .xss ect alles was schädlich sein kann um ganz sicher zu gehen xD

Ähm - nein?
$this->bbcode_second_pass_code('', '<div onload="window.location="http://example.com/badsite.exe">blub</div>')
Wo ist hier das Semikolon? Das ist in JS übrigens optional. Solange man Zeilenweise schreibt und die Befehle nicht aneinander reiht.



Filtert und ersetzt die Ausgabe. Und sorry - die Dateiendung ist Mist. Klar, unter Windows Dateiendung = Dateityp, aber im Internet (Und unter Linux wie auch Mac OS X) kann eine PHP-Datei auch auf .png enden. Oder sonstwas. Oder kann auch gar keine Endung haben. Es gibt genügend Dateien unter Linux, die README heissen. Ohne .txt.

Abe rnicht jeder Nutzt Linux ect udn mal erlich die meißten die einen LOGD server angreifen wollen würden sidn nicht umbedingt Profies die sooo viel ahnung davon haben, denn das hauptmotiev fürs "Hacken" ist immernoch die Neugier.

und Wenne in Paar dinge mehr gesperrt sind, ist das wohl nicht von nachteil oder? ich bin de rmeinung lieber ien wenig mehr als zu wenig sperren

Sammel mal deine Erfahrung damit, dann wirst Du merken, dass auch bereits normale User sehr Experimentier freudig sind. Und dann das große schreien ist, wenn man selbst davor sitzt, weil man es nicht gesperrt hat.

Man sperrt nicht mehr, als zur Erhaltung der Sicherheit notwendig ist. Alles andere grenzt an Zensur. Übrigens - was soll es bringen, Dateien zu sperren, die auf .xss oder .php enden? Vor allem, da .xss keine "normale" Datieendung ist und sicher nicht für Cross Site Scripting gebraucht wird? Willst du Links sperren, dann mache den Anker-Tag unwirksam. Wenn du Bilder verunmöglichen willst, dann sperre den Image-Tag. Sollen es normale Objekte sein, dann den Objekt- oder den Embedded-Tag. Was willst du damit bezwecken, ausser, dass man vielleicht keine Quellen mehr angeben kann, weil du aus Unwissenheit sogar normalen Text sperrst, in dem ein .php vorkommt?

ich will eigendlichd amit verbieten, das man mit irgendwelchen funktionen im Hintergrund auf andere Seiten verwiesen werden die meißteine Dateiendung wie .php ect haben denn es ist sher von nachteil wenn man im hintergrund auf eien seite verwiesen wird, die deien coocies speichert nihct wahr?^^

so hatte mein Mod mir das gezeigt xD ich ging in seine bio er war mit mir eigeloggt <.<

Wenn du davon so überzeugt bist, warum lässt du dann überhaupt code zu?

Baut euch doch "einfach" ein bb-code system, damit dürfte man das ganze am besten eingrenzen können.

_________________
Mehr oder minder inaktiv

hehe jetzt hab ich mal nen bissl rum probiert udn habs Gepackt mit einem Mix aus dem Code von Rikka Also nur das:

$this->bbcode_second_pass_code('', '$stripAttrib = 'javascript&#058;|onclick|ondblclick|onmousedown|onmouseup|onmouseover|'.
'onmousemove|onmouseout|onkeypress|onkeydown|onkeyup|onabort|'.
'onfocus|onload|onblur|onchange|onerror|onreset|onselect|obsubmit|onunload|style';')

und der funktion die die bösen zeichen aus der Avatar funktion löscht udn so funzt es nun danke dafür an rikka hab dich in der prefs dafür erwähnt

Da ich selber vor kurzem mit dem IE wieder zu kämpfen hatte ist mir ein Eventhandler aufgefallen, der hier noch nich aufgelistet ist -> onbeforeunload

Der gehört nicht zum Standard, wird aber vom Internetexplorer verwendet, von den anderen Browsern soweit ich weiß als onunload interpretiert

LG, Eichi

_________________
Ist es nicht die Weisheit, die ein Mensch zu erlangen sucht?!
Der Knochen kommt nicht von alleine zum Hund, schön wärs ._.

Schokopudding, der sich von alleine kochen kann.......


BLUBBBEL!

Sorry für den Doppelpost, aber ich denke das ist wohl für manch Admin nicht unwichtig, daher wollte ich noch einen Eventhandler hier hinzufügen.

oncontextmenu

Auch bekannt als "rechter Mausklick"

_________________
Ist es nicht die Weisheit, die ein Mensch zu erlangen sucht?!
Der Knochen kommt nicht von alleine zum Hund, schön wärs ._.

Schokopudding, der sich von alleine kochen kann.......


BLUBBBEL!

Wieso so schwer?

Macht doch einfach ein Feld, mit Dingen, die erlaubt sind?! Dann fällt doch das was nicht erlaubt ist, direkt weg.... ;-) - Denn wenn ihr es andersrum macht - wie ich es mitbekommen habe - dann ist der Aufwand wesentlich größer.