PHP-Code verändern ohne Rechte?

ESM

ESM

Erfahrenes Mitglied
Guten Abend,
ich verwalte seit neustem eine Community-Seite, die auf einem PHP-Code basiert. Ich persönlich kenne mich mit PHP nicht aus, allerdings kann auf der Seite was nicht stimmen, denn sobald man sie öffnet, erscheint nur ein grauer Hintergrund mit nem schwachsinnigen Text. Aber wie kann ein User, der keine Rechte besitzt, das hinkriegen?
Ihr könnt ja mal auf gehen und euch das anschauen.
Vielen Dank.
MfG
 
Zuletzt bearbeitet:
Mal schnell angeschaut:

Das Problem tritt ja wohl nur im Forum auf, daher denke ich mal das Problem liegt an der Forum implementation.

Der der das gemacht hat, hat ja nen Hinweis gegeben, wie er es gemacht hat.
Das was er schreibt, ist ja ein Posting und ich tippe mal auf eins in der Kategorie "Gerüchteküche". Warum? Weil da kein "Letzer Beitrag" ist, wenn man mit der Maus drüber fährt der Link so aussieht:
http://www.bs-lamello.de/showanswers.php?fid=7&tid=479&start=-1#lastpost
(man beachte -1#lastpost)
Dann steht da "Von: Anonym".

Jetzt zum HTML Code, der da ist, wo eigentliche "letzer Beitrag" von der angesprichenen Kategorie steht:

HTML: 
<td id="tablea" align="left" bgcolor="#f5f5f5"><a href="showthreads.php?fid=00000000007"><font face="Verdana" size="1"><b>Gerüchteküche...</a></b><br>Achtung, Testweise: Hier wird anonym gepostet. Praktisch für Gerüchte und Spekulationen!<br><br>[Themen: 20, Beiträge: 328]</font></td>
      <td colspan="2" bgcolor="#ededed" id="tableb"><p align="left"><font face="Verdana" size="1"><a href="showanswers.php?fid=7&tid=479&start=-1#lastpost"><img src="information.png" width="16" height="16" border="0">
                      <div style="position: absolute; top: 51px; left: 51px; height: 3216px; width: 1111px; background-color: grey;"><h1>Wir grüßen das gesamte artaxo team der artaxo ag für werbung jeglicher art,joar und öh ma so keinen mehr. War schon mit 12 n Programmierer..                      </a><br>
                      Datum: 
                       18.03.06                      <br>
                      Uhrzeit: 17:17<br>
                      Von: <a href="profile.php?username=anonym">anonym</a></font></p></td>
    </tr>

Typischer Fall von Code Injection. Beim erstellen des Postings hat er als Inhalt den Kram ab "<div style="..... geschrieben. Das setzt die Foren Software 1:1 um. Da Position und Grösse dementsprechend eingestellt ist, ist das das Ergebniss.

Abhilfe:
Kein HTML/JavaScript/usw Code als Beitrag eines User oder entsprechend entschärfen durch addslashed() (oder so heisst der Befehl)

Gruss
 
Achja, er hat keine Dateien verändert. Er hat was gepostet in deinem Forum und eine Schwachstelle ausgenutzt!!

Gruss
 
Tag,

gaaaaaaaaaaaaaaaanz vielen Dank für die Tipps. Die Seite läuft wieder und die Sperre ist eingebaut.
Vielen Dank nochmal.

MfG
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück