[wBBLite] RedireX

Dieses Thema im Forum "hacks von rellek" wurde erstellt von rellek, 6 August 2004.

  1. Magandhi

    Magandhi Neuer Benutzer

    ich habe folgendes Problem mit de mHacks:

    Ich bekomme im Forum folgende Fehlermeldung. Das Forum funktioniert weiter, nur dass die Seite nicht als gelesen markiert wird. Die Fehlermeldung kommt nicht bei allen Threads sondern sporadisch in einzelnen Foren (aber auch dort sind nicht alle Threads betroffen).

    Warning: parse_url(http://): Unable to parse url in /www/htdocs/rzforum/acp/lib/class_parse.php on line 311

    Warning: Cannot modify header information - headers already sent by (output started at /www/htdocs/rzforum/acp/lib/class_parse.php:311) in /www/htdocs/rzforum/acp/lib/functions.php on line 82

    Warning: Cannot modify header information - headers already sent by (output started at /www/htdocs/rzforum/acp/lib/class_parse.php:311) in /www/htdocs/rzforum/acp/lib/functions.php on line 82

    im betroffenen Thread kam etwa dieser Link vor: http://www.thatvideosite.com/view/1819.html ... wobei viele Threads von dieser Seite sonst ohne Probleme funktionieren, deshalb bezweifle ich, dass dies einen Zusammenhang haben könnte ...
     
  2. rellek

    rellek relativ sensationell Mitarbeiter

    Das kommt daher, dass eine ungültige URL eingegeben wurde...
     
  3. Magandhi

    Magandhi Neuer Benutzer

    es sind aber alles gültige urls und die links funktionieren ...
     
  4. rellek

    rellek relativ sensationell Mitarbeiter

    irgendwo ist ein link dabei, der nur aus http:// besteht - und bei dem hackts.
     
  5. Magandhi

    Magandhi Neuer Benutzer

  6. rellek

    rellek relativ sensationell Mitarbeiter

    Kann ich dir nicht sagen - an der "Erfassung" der Links ändert der Hack nix.

    Vielleicht hat der User, der den Link gesetzt hat, den URL-Button genommen und bei der ersten Abfrage ("Linkbeschreibung") den Link reingeschrieben und bei der zweiten Abfrage ("URL") alles so gelassen wies war.
     
  7. Magandhi

    Magandhi Neuer Benutzer

    nein, das war nicht so. der Link wurde "roh" eingefüht und automatisch als url erkannt und dementsprechend umgewandelt ...
     
  8. rellek

    rellek relativ sensationell Mitarbeiter

    AW: RedireX

    Es wurde eine XSS-Sicherheitslücke gefunden, die es theoretisch möglich macht, dass Javascript-Code ausgeführt werden kann.

    Bemerkt wurde die Lücke von Kugelfisch, die Huldigungen für den Fix gehen bitte an das Forum von onesworld.

    Ihr müsst die redir.php ersetzen mit folgendem Inhalt:
    PHP:
    <?php
    $filename
    ="redir.php"
    require(
    "./global.php"); 
    $lang->load('GLOBAL'); 
     
    function 
    is_url($url) { 
        if (!
    preg_match('#^http\\:\\/\\/[a-z0-9\-]+\.([a-z0-9\-]+\.)?[a-z]+#i'$url)) { 
            return 
    false;
        } else {
            return 
    true;
        }
    }  
     
    if(isset(
    $_REQUEST['url']) && is_url($_REQUEST['url'])) { 
    redirect('Die angeforderte Seite wird aufgerufen. Bitte warten.'urldecode($_REQUEST['url']), 1); 
    exit; 
    } else { 
         die(
    "syntax beachten"); 

    ?>

    WICHTIG:
    Wenn ihr anonym.to nutzt (und deshalb die redir.php nicht hochgeladen habt), dann seid ihr nicht betroffen.
    Wenn die redir,php existiert, sollte dies jedoch behoben werden!
     

Diese Seite empfehlen

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deinem Erleben anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden