[HaBo]

Doomhammer

Anzeige

Hoffe das jetzt im richtigen Thread gelandet ._.

naja...

Hab ein eigenes Forum und dort ist in den Signaturen und den Posts auch HTML code erlaubt.
Nun ist mir letztens erst aufgefallen das man ja auch Dateien dadurch ausführen kann. (Bsp.: .jpg)
Meine Frage wär ob es denn möglich ist das jemand genau darüber einen Exploit ausführt, z.B.: JpgOfDeath oder ähnliches was sich als jpg tarnt.


Gruß, Doomhammer

404

Jpgs sollten eigentl. ungefährlich sein, da die meisten Leute mittlerweile den Patch bzw. das Servicepack drauf haben.

Trotzdem solltest du JavaScript und html immer deaktivieren. Es öffnet potenziellen Angreifern Tür & Tor für so nette Sachen wie Cookie Stealer etc.

Auch wenn Javascript deaktiviert ist, kann man mittels html & Flash Javascript ausführen. ( get_URL(javascript ) Also schalt html in deinem Forum lieber aus und aktivier den sicheren BB-Code. (mit dem die meisten user sowieso besser zurechtkommen)

__________________
Major Fault, General Error and Colonel Panic came together to celebrate timeout.

Doomhammer

ok danke schonmal für die antwort^^
Hab den BBCode aktiviert und HTML ausgeschaltet

Aber besteht prinzipiell die gefahr das sich jemand einen Exploit in die sig läd und der dann dadurch ausgeführt wird? wenn man von eventuellen servicepacks oder updates absieht.

Elderan

Hallo,
sofern du jeden HTML Code zulässt, kann man durchaus auch einen Exploit in die Sig laden.
Entweder kann man darüber den Browser abstürzen lassen oder manchmal sogar beliebige Dateien ausführen (auf dem Client-Rechnern).

Das viel gefährlichere ist aber soetwas wie Cookie-"Stealing", dort werden die Zugangsdaten zu deiner Website gestohlen, welche in einem Cookie hinterlegt sind.

In Foren gibt es oft die Wiederkehrfunktion, dort ist bei dir ein Cookie mit Userid + Passwort hinterlegt, dieser kann dann z.B. gestohlen werden.

Sonst ist bei jedem System die SessionID hinterlegt, meistens in einem Cookie (andere Alternative: URL, auch unsicher). Wenn jmd. die SessionID stiehlt, welches wieder über das Cookie Stealing geht, so kann er unter dem User weitersurfen.

Auch könnte jmd. z.B. eine Weiterleitung auf die eigene Seite in die Sig. übernehmen.


PS: Zu Exploits in Browser: http://www.heise.de/security/dienste/browsercheck/

Doomhammer

hmmm mal sehen ob ich es verstanden hab:

Also der bbcode ist sicherer. Hängt das damit zusammen das bb nur bestimmte Befehle zulässt? Der bbcode müsste doch eigentlich wieder zurück in HTML übersetzt werden.

Wenn ich also einen bbcode für ein pic habe ( [img]URL[ /img]) dann müsste das doch in HTML (<img src="URL" />) übersetzt werden oder?

Es wäre doch also für jemanden möglich darüber einen Exploit der als jpg getarnt ist auszuführen oder?

lightsaver

also falls du folgendes meinst (http://vil.nai.com/vil/content/v_128904.htm) dann dürfte auch bbcode anfällig sein, da dies wie eine art platzhalter gesehen werden kann welcher ersetzt wird. das problem wäre hier ja nicht der html-code sondern die datei selber.

es gibt aber halt auch direkt exploits wie weiter oben erwähnt, die direkt z.b. javascript-fähigkeiten holen und so. und dagegen sollte dich bbcode eigentlich schützen.

wie aber generell bei programmen so muss man auch hier sagen, dass nichts 100% sicher ist!

Doomhammer

ja genau das meine ich. Ja natürlich geht es dabei um die Datei selber, aber okay das wollte ich wissen. Danke^^

CDW

Falls ich Deine Zweifel richtig deute:
beim bbcode hat man aber im Endeffekt mehr Kontrolle, da es nur (wie Du schon erkannt hast) bestimmte, fest vorgegebene bbcodes gibt. Der HTML Code wird dann daraus generiert.

Andersrum, wenn man nur bestimmte HTML Codes zulassen möchte, muss man den unerwünschten Rest herausfiltern und das ist fehleranfälliger (irgendwas übersieht man ja immer, z.b irgenetwas unerlaubtes im erlaubten Code) so dass mehr Manipulationsmöglichkeiten offen bleiben.

Grundsätzlich ist es wie erwähnt schon eine alte und bekannte Lücke.

Zusätzlich kann man ja in vielen Browsern nur Bilder von der Webseite zulassen und alle Fremdquellen verbieten - das gibt es in der Mozilla-Familie unter Einstellungen (irgenwo ) oder in der URL-Leiste "about:config" eingeben, nach "network.image.imageBehavior" suchen und den Wert auf 1 Stellen (dabei stehen die Werte: 0=alle Bilder,1 nur Bilder der Webseite,2 =keine Bilder). Ob das im FF 2.0 immer noch so ist - k.A.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Doomhammer

danke für die Tipps leute^^ hat mir sehr geholfen^^

LX

Wozu? IIRC fangen Gecko-Browser nix mit Bildern an, die keine Bilder sind, geschweige denn sie auszuführen.

__________________
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

JS BB LX UP