[HaBo]

heinzelJacKy

Anzeige

hey leute!
hab mit nem freund zusammen ein eigenes content-management in php realisiert was zwar nicht riesenumfangreich ist aber doch ein paar funktionen enthält.
das ganze läuft momentan auf
http://jscms.js.funpic.de als eine art "public beta" oder so.
also wär meine 1. bitte dass sich vielleicht ein paar leute ein bisschen durchclicken und gerne ein paar seiten reinstellen, halt alle funktionen mal ausprobieren um eventuelle fehler zu finden. wenn sich wer mit xss etc auskennt, wär das auch hilfreich wenn jemand das testen wuerde.
2. hätte ich noch ne frage, da momentan dort bilder von joomla benutzt werden. joomla läuft ja unter der gpl, und ich bin mir nicht sicher ob ich, falls ich dieses content management verkaufen will, diese bilder mitliefern darf oder was es da fuer möglichkeiten gibt. selbst bilder erstellen wär natuerlich auch kein problem, aber bis jetzt habe ich nur auf die funktionalität geschaut und nicht primär auf design,ausserdem bin ich wohl net so begabt in sachen bildbearbeitung ;) genauso verhält es sich mit dem benutzten fck-editor und dem javascript-kalenderpicker.. kann mich da jemand aufklären wie das rechtlich aussieht? wär super :)

mfg jacky

Eydeet

Wie heißt denn das Passwort?

0wnZ

Name: admin
Passwort : root

;P

ERit

jo also da gibts halt schon ein paar kleine bugs

802.11b

muhahaha erster ^^
achjaaa ... sucht mal sicherheits lücken
http://jscms.js.funpic.de/index.php?act=1 <--- sollte login dingen sein
p.w poste ich später nochmal ^^

hehe... ma gucke was das Ding alles aushält.

heinzelJacKy

welche denn? wär net schlecht wenn du die aufzählen wuerdest
das pw "root" ist momentan hardgecodet und funktioniert fuer jeden existierenden benutzer, wird aber bei ner normalen version wohl net so sein

tobt euch gerne aus ;-) solang sich net funpic beschwert weil ihr ihre server zerschossen habt is mir das grad recht..

achja, kennt sich jetzt jemand aus wie das mit den bildern etc ist?

mfg jacky

c1b

Es waere nicht schlecht, wenn du das rausmachst, damit es so ist wie in der spaeteren richtigen Version.

mfg
c1b

ERit

keine ahnung ob dir das weiterhilft, ist halt schon sehr alt aber geht trotzdem teilweise noch:
http://ha.ckers.org/xss.html
http://www.google.at/search?hl=de&q=...nG=Suche&meta=
hab grad garkeine zeit mich damit zu beschäftigen, ich probier mal was wenn ich den fortschritt meines projektteams ("diplomarbeit") wieder eingeholt habe wir schreiben auch gerade an so einem cms für eine firma und ich fauler sack muss noch ein modul fertigstellen.
lg

heinzelJacKy

das xss sheet kenn ich schon und hab auch schon ein paar einfache methoden ausprobiert in richtung xss und sql-injection, aber da ich selber net viel erfahrung in der richtung hab sondern mich nur auf online-artikel verlassen kann, denke ich dass es wohl noch komplexere angriffsvektoren gibt an die ich net gedacht hab bei der programmierung..
mit dem hardgecodeten pw wollte ich verhindern, dass der erste spack ankommt und das admin-pw ändert und dann keiner mehr zugriff hat bis ich die db tilte ;-) man kann auch monentan noch das passwort fuer alle benutzer ändern und benutzen, aber das "root" ist so eine art master-pw das immer funktioniert. das ganze war einfacher, also in den scripts eine änderung des admin-pws zu unterbinden, deswegen wirds auch momentan noch so bleiben, am grundsätzlichen sicherheitsmodell ändert sich ja nix.

mfg jacky

c1b

Sieht aus als waere dein Login anfaellig fuer SQL-Injection.
Oeffne: http://jscms.js.funpic.de/index.php?act=1
Username: admin
Passwort:
Dann bekomm ich oben die Leiste zu sehen, kann aber nicht darauf zugreifen (hab jetzt auch nicht die Zeit um weiter zu probieren).
Solltest auf jeden Fall mal danach schauen.

mfg
c1b

odigo

Das hat nichts mit SQL-Injection zu tun. Die Leiste bekommt man bei jedem falschen Passwort zu sehen.

Gruß odigo

__________________
[HaBo] @ Facebook - Gefällt mir!

Mackz

* Da sich der Schwerpunkt der Diskussion hier auf die Sicherheit konzentriert, in unser schönes neues Webmaster-Security Forum geschoben. *

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan

c1b

mhh, ist mir nicht aufgefallen.
Ich hab den Wald wohl vor lauter Baeumen uebersehen.

Sorry

mfg
c1b

Xalon

Hey wenn du mir mal die Sources zukommen lassen würdest würd ich mal nach Lücken suchen das geht imo besser als auf ner Seite.
Ich würds aber auch verstehen wenn du sie nicht preisgeben willst

Xalon

LX

Um Wollen geht's aber nicht... Produkte, die andere Entwicklungen verwenden, die unter der GPL stehen, müssen ebenfalls unter die GPL oder eine gleichwertige Lizenz gestellt werden. Und die GPL besagt, dass die Sourcen offengelegt werden müssen

__________________
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

JS BB LX UP