Verstehe nicht ganz, was das bringen soll. Die meisten benutzen das CMS von hen! und da wird der GET Parameter page(?) dazu verwendet, um eine Seite zu inkludieren. (-was meiner Meinung nach ziemlich outdated ist & man eher ein Routing System verwenden oder andere Methoden benutzen sollte.) Dieser User-Input wird auch überprüft bzw. es wird geschaut, ob die Seite und somit die Datei überhaupt im Ordner existiert.
Hinzu kommt noch, dass XSS Angriffe sehr selten über die URL eingeschleust werden, da es ziemlich auffällig wäre. (Außer jemand hat eine Suchfunktion drinnen, bei der die Search-Query direkt als Parameter in der URL vorkommt)
Außerdem ist die Funktion htmlentities die beste Möglichkeit, um solche Angriffe zu unterbinden, da diese die Zeichen in HTML Codes (aus < -> <) umwandelt.
das mit der URL ist nur ein leichteres Beispiel damit man es testen kann.
Ich würde so etwas via shell machen...
Ich weiß nicht ob es bei dem Henscript solch eine Lücke gibt jedoch schadet es nicht XSS zu blocken. Über das Coding des Hen CMS brauchen wir nicht Diskutieren. Zur heutigen Zeit nutzt man mvc Systeme ja aber man beachte wie alt das Hen CMS ist
Zudem ist der Thread dafür gedacht um die Leute vor betrügerischen Menschen zu verschonen die für sowas Geld nehmen.
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.
tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.
tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.
Ich verstehe nicht wieso es die Leute nicht verstehen aber du postest in der falschen Section. Du musst doch extra nen Haken setzen, dass du nur Contest postest der auch was mit M2 zutun hat.
tl;dr: XSS Blocking != Metin2-Content
--> - Wirf nen Blick in die Subforums.
Wenn schon, dann wohl eher in .
Quote:
Originally Posted by Aze
Ganz ehrlich, wer guckt da schon rein? Kaum einer, der sich nicht mit solchen Dingen beschäftigt. Hier wird es wenigstens von den Leuten gesehen, die auch in dieser Szene aktiv sind und die es betrifft.
Selber Schuld wer sich nichtmal in der richtigen Sektion informiert.
Diese Funktion deckt bei weitem nicht alle Fälle von XSS ab.
Pauschale Eingabe-Filterung funktioniert einfach nicht, siehe dazu auch auf Stackoverflow.
Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes
Es hat doch indirekt was mit Metin2 zu tun, alleine weil hier die meisten Leute ausgenommen werden wie die Weihnachtsgänze mit sogenannten Sicherheitsfixes
Ändert nichts daran, dass deine Variante nur sehr einfache Varianten von XSS abdeckt. Jeder der sich ein paar Minuten beliest, hat eine Möglichkeit, welche deinen "Filter" umgeht.
Du vermittelst den Leuten hier falsche Sicherheit, das finde ich recht kontraproduktiv.
Es mag sein das es nur die einfachen Varianten abdeckt. Die Webseiten die Public sind, sind sowieso alle Clean. Wer was eigenes baut wird so schlau sein und htmlspecialchars sowie PDO verwenden nehme ich an.
Schön & Gut das du da irgendein mini script herbei gezaubert hast, dennoch ändert das nur minimal etwas an der Sache das man Injections durchführen kann.
Die Sinnvollere "Konzept-Idee" wäre es für dich alle Methoden abzudecken die dazu benutzt werden Lücken zu finden und sie zu nutzen.
Ich bin mal so nett:
- Cookie Injection
- XRS
- XAS
- DCP
- ...
Und als Bypasser z.B:
- Unescape()
- StringFromCharCode()
- ...
Außerdem gibt es zwei Typen der Verbindung (GET & POST)
Port blocking 07/30/2011 - CO2 Private Server - 1 Replies The problem i checked at Open Port Check Tool to see if something blocks the ports 9958, 9959, 9960 and 5816, and yeah, they are blocked, except 80 and 8080 which are not blocked (they are for website)...anyways...
Is possible to unblock the ports I wrote?
Something is blocking UDOBot... PLEASE HELP!!!! 12/31/2010 - Browsergames - 10 Replies Hi all,
I need help with the UDOBOT 3.0.2!
every time I start it,appears to me the following error:"Something is blocking udobot from connecting to the server!Check your Antivirus and firewall".
I've sought help at several sites(including site udobot.com)but I can not solve my problem.I need your help!!! PLEASEE!!!!
my antivius and firewall are disabled!
Thank you guys,and sorry for my english,I hate this google translate!
blocking-not blocking ? 02/22/2010 - Kal Online - 1 Replies hey all , i just wanted to ask you, if gms can get you, if you use storms with cooldowns ? i mean.... is it the same like all other skills , or you can get auto blocked or sth ?i am talking for int server :p plz answer
[HELP] Blocking Ip 02/02/2010 - CO2 Private Server - 6 Replies Hello everyone,
First of all sorry for my bad english, i used custom search to find something about my problem, but i didn't see any result.
I got a problem with a guy that spams the broadcast of my friend's private server, he keep sending aim bot links. So i decided to block his IP, but i don't know how. He uses app server and MySql
Thanks anyways
blocking 02/06/2009 - Silkroad Online - 2 Replies hey guys one question im wondering if i have a shield br 20 + pasive blader skill br 10+ it makes it 30% out of 100% off all blocks how much does the block rating on weapon decrease the block on my shield when an lets say glaiver with block rating 100(100%9 on glaive attacks me ???