Thwboard Security Fix [Update] (ThWboard Support-Forum (Archiv))

dp schrieb am 20.04.2002 um 18:58 Uhr

Der folgende Fix behebt Sicherheitslücken, die durch Cross Site Scripting entstehen können:

inc/functions.inc.php

~line 494

$string = eregi_replace('\[img\]http://([^\[]*)\[/img\]', '<img src="http://\1" border="0">', $string);

ersetzen durch

$string = eregi_replace('\[img\]http://([a-zA-Z0-9_%\,\./=\?-]*)\[/img\]', '<img src="http://\1" border="0">', $string);

sowie
~line 489

$string = eregi_replace('\[url="([^"]*)"\]([^\[]*)\[\/url\]', '<a href="\1" target="_blank">\2</a>', $string);

ersetzen durch

$string = eregi_replace('\[url="http://([a-zA-Z0-9_%\,\./=\?-]*)"\]([^\[]*)\[\/url\]', '<a href="http://\1" target="_blank">\2</a>', $string);

Nach dem Einbaue des Fixes könnten manche Links nicht mehr funktionieren, da jetzt relativ strenge Regeln für URLs gelten. Nicht funktionierende URL's können hier gepostet werden..

Schnassel63 schrieb am 20.04.2002 um 22:16 Uhr

DP

wie wärs, wenn Du es hier im Board auch schnell fixen würdest!
es gibt nämlich einige threads wo bilder benötigt werden, damit der post auch noch verstanden wird :(

schau mal Hier nach, dmit du auch sehen kannst was ich meine

danke
.

Luki schrieb am 26.04.2002 um 14:58 Uhr

Achtung
Sicherheits Problem besteht weiterhin:

http://www.thwboard.de/support/showtopic.php3?threadid=1891

dp schrieb am 28.04.2002 um 14:52 Uhr

ich hab den post jetzt geupdatet, aber die lösung ist immer noch als temporär anzusehen, bis eine bessere lösung gefunden ist.

Luki schrieb am 28.04.2002 um 16:21 Uhr

1.) http://techupdate.zdnet.de/story/0,,t422-s2104553,00.html sowie ftp://***** etc.-> funktioniert nicht!!!

2.) ist der Fix in diesem Board schon eingebaut?

Jonas schrieb am 28.04.2002 um 16:22 Uhr

AHRG!
lukas: wenn du z.b schreibst http://www.xyz.de, das ist ne saugeile seite!
dann wird das komma mit als link gewertet! gut dass es net so ist!!! *grmpf* ;)

Luki schrieb am 28.04.2002 um 16:30 Uhr

... okay, damit hast du ja recht und das ist auch richtig so!! aber wenn ich das in [url ] [/url ] angebe...!!!?? geht das dann weiterhin??? (mit fix?)

Andy schrieb am 28.04.2002 um 16:34 Uhr

hmm? bei mir funktioniert alles...

Jonas schrieb am 28.04.2002 um 16:48 Uhr

musst du austesten l.

Piti schrieb am 28.04.2002 um 17:03 Uhr

Also bei mir geht geht url="mailto:test@test.de"]mail[/url] nicht mehr wenn der fix drine ist

SyntaxError schrieb am 28.04.2002 um 20:40 Uhr

Ich kann Pitt nur zustimmen. Bei mir geht das MailTo auch nicht mehr.

Jonas schrieb am 28.04.2002 um 20:51 Uhr

liegt wohl an nem ausgeschlossenen doppelpunkt...
@dp: füg am besten nen mailcode ein, dann is auch das prob gegessen...

Schnassel63 schrieb am 29.04.2002 um 09:17 Uhr

ich habe bei mir den erweiterten thwb-code-hack drin und damit geht auch mailto ;) nach dem fix

Piti schrieb am 29.04.2002 um 16:46 Uhr

Also habe mit grosser Hilfe von Schnassel63 den thwb code hack eingebaut und jetzt geht auch bei mir alles.

@Schnassel63 special thx für Deine mühe

Gruss Piti !

Jonas schrieb am 29.04.2002 um 16:48 Uhr

hm, habt ihr da auch mal die javascript sachen ausprobiert?

Piti schrieb am 29.04.2002 um 16:50 Uhr

Jo mit dem window.open und alert befehl dann steht da nur noch der text von dem was man gepostet hat ;)

Gruss Piti !

Schnassel63 schrieb am 30.04.2002 um 10:53 Uhr

@dp

es scheinen je einige URL-Tags ihre aufgabe nicht mehr so zu erfüllen wie es vor dem fixes war, siehe meinen eintrag mit der nummer 001 ganz oben.
nun habe ich ein bissel getüfftelt und habe nun folgende code (mit diesen gehen alle URLs wieder ob mit oder ohne URL-Tags)

Nun meine frage, kann ich das so lassen, oder gibt es da wieder ein sicherheitsproblem?!?

        // [ url ] & [ /url ]
                $string = eregi_replace('\[url]http://([^\[]*)\[\/url\]', '<a href="http://\1" target="_blank">\1</a>', $string);
                $string = eregi_replace('\[url]([^\[]*)\[\/url\]', '<a href="http://\1" target="_blank">\1</a>', $string);

        // [ url="" ] & [ /url ]
  $string = eregi_replace('\[url="www.([a-zA&-Z0-9_%\,\./=\?-]*)"\]([^\[]*)\[\/url\]', '<a href="http://www.\1" target="_blank">\2</a>', $string);
  $string = eregi_replace('\[url="http://([a-zA&-Z0-9_%\,\./=\?-]*)"\]([^\[]*)\[\/url\]', '<a href="http://\1" target="_blank">\2</a>', $string);

[EURdit]

konnte bei mir keine Probleme wegen der Sicherheit feststellen, habe ja in meinem Test-Forum so einen netten eintrag bezüglich des CSS erhalten und das prob scheint bei mir weiterhin behoben (Sicherheitsproblem)

dp schrieb am 30.04.2002 um 14:06 Uhr

also ich habs mir jetzt nicht weiter angesehen, aber ich habe hier die finale änderung praktisch fertig. damit werden dann wieder alle links wie gewohnt gehen, es wird lediglich javascript: mit javascript%3A ersetzt. damit ist javakram abgedeckt, weitere lücken sind mir da jetzt nicht bekannt.

also geduldet euch bitte noch ein wenig :)