OpenPHPNuke - das Open Source CMS

Autor	Freespacer
Datum	03.10.2006 21:35
Beiträge:	stefan schrieb am 03.10.2006 um 20:34:12 Uhr folgendes: sorry ich verstehe nicht jetzt mal unabhänig von der URL Codierung was soll mr dein Beispiel sagen bzw. Wieso verhält er sich da deiner Meinung nach falsch. Du willst da fremden Code einschleusen? Nach mal. Ich verstehe nicht was da die Lücke sein soll. Bis jetzt hast du das Modul nur auf gerufen und sollst was schreiben. Ich vermute du willst die Variable op angreifen. Versuch es. Versuch irgendwas zu übergeben was auch immer. Weil es besser ist, von allen Seiten abzusichern. Andersherum gefragt, was bring mir die Verschlüsselung, wenn die Seiten sowieso öffentlich zugänglich sind? Da kann ich genauso die Verschlüsselung abschalten, weil sie nichts bringt. Verstehst du was ich meine? Übrigens wäre es nicht vielleicht besser, wenn die Variable-Name "OPNPARAMS" öffentlich änderbar ist? Intern kann er von mir aus OPNPARAMS heißen, Aber das ist leider für mich ein Indiz, welches CMS gerade läuft. Manche Webmaster empfehlen ein CMS gerne weiter, aber der Webmaster muss auch die Möglichkeit haben sein eigenes CMS zu verschleiern. Genausowie die Cookies, diese werden auch als "opnsession" genannt. Das sollte man auch im Adminbereich ändern können. Nochmal zu Verdeutlichung, (leider habe ich auch ein Fehler im Gästebuch entdeckt) Ich habe das Modul Gästebuch noch aktiviert. Ich will jedoch nur, dass man dieses Formular direkt von OPN generiert wird und diese auch direkt von OPN zurückschicken kann. Aus unerfindlichen Gründen kann ich auch wenn ich in OPN angemeldet bin, ins Gästebuch nicht schreiben. Evtl. liegt hier ein BUG vor?! Nur die Einstellung schafft kurzfristig eine Lösung (aber nicht von dauer) unter admin -> Mein Gästebuch -> Einstellungen -> Spam Sicherheitsabfrage -> NEIN Danach kann ich als angemeldeter User ins Gästebuch schreiben. Aber leider laufe ich auch sofort auf Gefahr, dass Spamschleuder dies ausnutzen können. Da die Sicherheitsabfrage leider in der Trunk-Version defekt ist. Dieser kleine Code kann einfach SPAM's ins Gästebuch übertragen. <html> <head> <title>SPAMING</title> </head> <body> <form action="http://www.openphpnuke.info/system/forum/opnpr.php" method="post" name="coolsus" class="form" onsubmit="return validateForm('coolsus', validateFields, var_msg);"> <input type="hidden" name="guest_poster" value="2" /> <input type="hidden" name="guest_title" value="SPAMING GROUP!!!" /> <input type="hidden" name="font" value="" /> <input type="hidden" name="color" value="" /> <input type="hidden" name="chars" value="" /> <input type="hidden" name="search" value="" /> <input type="hidden" name="guest_body" value="THESE WAS SPAMED BY FREESPACER!!!" /> <input type="hidden" name="gfx_securitycode" value="Sicherheits-Code" /> <input type="hidden" name="op" value="saveguest" /> <input type="hidden" name="id" value="" /> <input type="submit" name="submit" value="SPAMING NOW" /> </form> </body> </html> Aber da das Gästebuch leider mit der Sicherheitseinstellung nicht beschreibbar ist umso grö0er ist die Gefahr denoch. Das man die Sicherheitseinstellung heruntersetzen muss, um das Gästebuch nutzen zu können. Da ist auch noch Nachbesserung angesagt.