wbblite Salted Hashes Version 1

Hervorgehoben

Hallo Blog Leser,

auch wenn ich in den letzen 2 Monaten kaum etwas gepostet habe,ist nun der Zeitpunkt gekommen wo ich doch mal die wbblite Version 1.0.2 pl3 bissl gefixt habe und 2-3 Bugs gefixt habe und diesem WoltLab Burning Board Lite eine Salt Funktion verpasst habe.

Da es sich um die erste Version handelt habe ich das ganze extrem einfach gehalten.

Die icon.php habe ich auch gefixt,da war eine SQL Injection möglich,ebenso habe ich auch die avatar.php bearbeitet.
Wie gesagt alles einfach gehalten, da ich erhlich gesagt nicht glaube das es großen Anhang findet.

Den Download gibt es hier:

Mit dem Download Aktzeptiert Ihr die Lizens von Woltab
wbblite102pl3salted

XSS – Cross-Site Scripting bei million Pixel

Hallo Freunde,

ich habe mir mal das Script von Million Pixel by textmedia.de angeschaut, dabei ist heraus gekommen das selbst bei der neusten Version einige XSS Lücken vorhanden sind,ich möchte hier mal eine aufzeigen. Das Problem liegt in der Variable pa

Ich gebe aus Rechtlichen Gründen keine URL an,aber der Anbieter selber hat auch diese Lücke!

Es sind einige Dateien anfällig, in diesem Demo nehme ich mal die mailing.php vor.

mailing.php?pa=1%00"'>alert(407253068350)%3B[email protected]

Was man damit Anfangen kann dürfte jedem klar sein, jede Lücke egal ob XSS oder SQL ist extrem Gefährlich.

Da die Software nicht frei erhältich ist,darf ich hier keinen Code veröffentlichen. Aber solche Lücken sind leicht zu fixen.

Nofollow Links setzen

Hallo Gemeinde,

hier mal wieder ein kleines HowTo wie man Links im Woltlab 2.3.* Board auf nofollow setzt.
Mit dem Attribut Nofollow auf Links sorgt man das keine Links in Suchmaschinen nicht mit zur Berechnung der Webseite mit eingezogen wird, sprich die „Linkpopularität“.

Genaue Erklärung gibt es bei Wikipedia unter Nofollow

Im wbb.2.3.* sucht man in der /acp/lib/class_pharse.php

function formaturl($url, $title = '', $maxwidth = 60, $width1 = 40, $width2 = -15) {
if (!wbb_trim($title)) {
$title = rehtmlconverter($url);
if (!preg_match("/[a-z]:\/\//si", $url)) $url = "http://$url";
if ($this->cuturls == 1 && wbb_strlen($title) > $maxwidth) $title = wbb_substr($title, 0, $width1)."...".wbb_substr($title, $width2);
return "".htmlconverter($this->stripSlashes($title))."";
}
else {
if (!preg_match("/[a-z]:\/\//si", $url)) $url = "http://$url";
return "".$title."";
}
}

und tauscht dieses gegen diesen Code aus.


function formaturl($url, $title = '', $maxwidth = 60, $width1 = 40, $width2 = -15) {
if (!wbb_trim($title)) {
$title = rehtmlconverter($url);
if (!preg_match("/[a-z]:\/\//si", $url)) $url = "http://$url";
if ($this->cuturls == 1 && wbb_strlen($title) > $maxwidth) $title = wbb_substr($title, 0, $width1)."...".wbb_substr($title, $width2);
return "".htmlconverter($this->stripSlashes($title))."";
}
else {
if (!preg_match("/[a-z]:\/\//si", $url)) $url = "http://$url";
return "".$title."";
}
}

je nach dem ob man einen HideHack verbaut hat, muß man dieses auch ändern.

Für das wbb 1.0.* kann man auch mit rel=\“nofollow\“ vorgehen!

geburtsklinik-fake-youtube

Hallo,

das was man hier sieht und hört ist doch unglaublich.

Aber mal ehrlich ist das überhaupt möglich,keiner kann genau Sagen an was geforscht wird und welche Umstände dazu führten.
Persönlich denke ich das es gefakt sein muß und das die Sender das als Promotion Nutzen.Eine andere Erklärung gibt es nicht.

Hout und Cnoche flashback

Moin Moin,

nach dem Koertes und cultd3ad schon ewige Fans von Hout und Cnoche sind und beide sogar die Fan Page mofficial erstellt haben,hat uns Orko am Samstag mal wieder fett geschickt und uns nur eine unscheinbare Youtube b.z.w MySpace Adresse hinterlassen.

Nach dem ich endlich mal Zeit hatte und mir das Neue Video angeschaut habe, kann ich nur dieses Topic schreiben. BK City lebt wieder und ich denke das ist bestimmt nicht das letzte was wir von Orko und TurnerC hören b.z.w sehen werden.Mehr kann oder darf ich hier und heute nicht schreiben, aber Leutz BK Rockt endlich wieder!


Hout und Cnoche flashback