Archiv verlassen und diese Seite im Standarddesign anzeigen : Forum mit aktivierten HTML Code
Karl|Krake
2003-06-18, 10:58:24
Hola!
Ich hab da mal ne Frage, auf der Homepage der Firma wo ich beschäftigt bin ist jetzt auch ein Forum eingerichtet worden, welches auch HTML Code erlaubt. Kann man durch diese Option irgendwelchen Mist bauen, ka. beim öffnen des Threads direkte Weiterleitung zu irgendeiner Internetadresse, schliessen des Browers etc?
Wenn ja, wüsste ich gerne, was für HTML Code ich posten müsste, damit soetwas geschieht, um die "Sicherheitslücke" (falls man das so nennen kann) aufzuzeigen. =)
Vielen Dank im Vorraus!
JTHawK
2003-06-18, 11:08:10
naja ..
jemad könnte zb eine tabellenspalte bzw zeile anfangen ... und somit die anzeige des forums ändern .. so das zb nicht mehr alles angezeigt wird
er könnte aber auch eventuell (ka was die forumssoftware tut) ein script ausführen und sonstwas damit anstellen
wenn html aktiv ist kann er so ziemlich alles machen was man mit html eben machen kann
Aqualon
2003-06-18, 12:06:35
Es würde schon ein
<html>
<form>
<input type crash>
</form>
</html>
ausreichen, um zumindest einige IE User auf die Schnauze fliegen zu lassen, wenn sie den Thread aufmachen.
Aqua
Karl|Krake
2003-06-18, 12:23:10
Original geschrieben von Aqualon
Es würde schon ein
<html>
<form>
<input type crash>
</form>
</html>
ausreichen, um zumindest einige IE User auf die Schnauze fliegen zu lassen, wenn sie den Thread aufmachen.
Aqua
leider nicht, es sei denn, die Vorschau reicht nicht aus, um den IE User "auf die Schnauze fliegen zu lassen".
Ich habs probiert, und dabei rausgekommen ist folgendes:
http://mitglied.lycos.de/casi1001/3DCenter/html.JPG
Schade, noch jemand ne Idee??
JTHawK
2003-06-18, 12:32:54
einfach nur mal
</TABLE>
schreiben :D
Karl|Krake
2003-06-18, 12:36:58
Original geschrieben von JTHawK
einfach nur mal
</TABLE>
schreiben :D
nö, passiert leider nichts. hrmpf, sieht genauso aus, wie auf dem Bild welches ich gepostet habe, nur das dann halt </TABLE> da herinnensteht.
Aqualon
2003-06-18, 12:37:18
Nachdem er das Inputfeld darstellt, werdet ihr wohl schon den Patch gegen diesen Fehler drauf haben.
Was mir noch einfallen würde:
<table width="500" height="500"><tr>
<td onmouseover="javascript:document.location.href='http://www.heise.de'"> </td>
</tr></table>
Zum einen dürfte die Tabelle das Layout schon stören und zu anderen wird automatisch eine Seite geladen, wenn man drübergeht.
Edit: javascript natürlich zusammenschreiben.
Aqua
Aqualon
2003-06-18, 12:38:17
Original geschrieben von Karl|Krake
nö, passiert leider nichts. hrmpf, sieht genauso aus, wie auf dem Bild welches ich gepostet habe, nur das dann halt </TABLE> da herinnensteht.
Dann wird HTML wohl nicht wirklich an sein oder es ist ein Syntaxcheck eingebaut.
Aqua
Karl|Krake
2003-06-18, 12:41:37
Original geschrieben von Aqualon
Nachdem er das Inputfeld darstellt, werdet ihr wohl schon den Patch gegen diesen Fehler drauf haben.
Was mir noch einfallen würde:
<table width="500" height="500"><tr>
<td onmouseover="javascript:document.location.href='http://www.heise.de'"> </td>
</tr></table>
Zum einen dürfte die Tabelle das Layout schon stören und zu anderen wird automatisch eine Seite geladen, wenn man drübergeht.
Edit: javascript natürlich zusammenschreiben.
Aqua
same here, passiert wieder nichts. Schade eigentlich, hätte mir gerne nen Gag gemacht, aber trotzdem Danke für die Mithilfe!!! =)
Aqualon
2003-06-18, 12:44:00
Kannst du HTML-Links einbauen? Dann kannst den ja mal mit dem onmouseover von oben ergänzen.
Aber wahrscheinlich ist javascript total gesperrt. Und das HTML an wird sich wohl nur auf einige wenige Befehle wie vielleicht <b></b> oder <br> beziehen.
Aqua
Karl|Krake
2003-06-18, 12:47:36
yep, <b></b> usw. funktioniert (Bilder einfügen, urls und mailadressen etc).
Das mit dem Mouseover klappt nicht, der Code wird dann einfach nur so dargestellt.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.