Beiträge von lNobodyl

- Atom (https://atom.io/)
- nginx (mit php7)
- mysql server

Herzlich willkommen!

Zitat von Tase

programmiere gerne Tools

Was denn für welche und welche Programmiersprache benutzt du dafür?

Phoenix Datenbank? Habe noch nie davon gehört. phpMyAdmin supported nur MySQL und die MariaDB. -> Phoenix wird nicht gesupported.
Du brauchst also einen anderen Clienten.

@Frank338 bitte rate mein Alter!

Name: lNobodyl
Alter: ***
Tipps: wurde gerade von deiner Mum gebärt.

Auch von mir ein herzliches Willkommen.

Das Problem war halt das der Apache Server keine web.config Datei versteht. Jemand hat ihm bereits eine .htaccess
geschickt, die aber fehlerhaft war. Dadurch hat er unwissentlich jedes mal eine 404 Seite bekommen, da der Server nicht wusste was er damit anfangen soll. Bsp.: http://x/account/password.
Die .htaccess muss jetzt dafür sorgen das der User für diese URL eine Datei ausgeliefert bekommt. Dies übernimmt das Apache-Modul "mod_rewrite".
Für das Beispiel müsste jetzt in der .htaccess unter anderem das stehen:

RewriteRule ^account/password(|/)$ account.php?setting=2

Wenn man die URL "http(s)://x/account/password" aufruft, bekommt man unwissentlich die account.php. Man könnte natürlich diese Datei direkt aufrufen, aber alle Links sind mit "mod_rewrite" manipuliert worden.

im Internet

Diesen Fehler hatte ich auch schon mal.
In der Funktion kann er nicht auf die MYSQL Verbindung zugreifen.
Ich würde das Problem so lösen. (OOP)

$mysqli = new mysqli("HOST", "BENUTZER", "PASSWORT", "DATENBANK");


function fetch_row($query, $mysqli){
	return $mysqli->fetch_row($query);


} 
fetch_row("IWAS", $mysqli);




 // EDIT: Das war schon ganz gut was du gemacht hast
function query($query){
  $result = mysqli_query($this->connection, $query);
  return $result;
}

Du übergibst der Funktion also auch die Verbindung zur Datenbank

Zitat von J2ainbow.

Es wird nicht mehr geholfen.

Ich gebe mir mühe im Thema Sicherheit & Programmierung (PHP,JS,HTML,CSS) euch zu unterstützen, aber leider stoße ich auf Widerstand. Einfach in den beiden XSS Themen schauen. Ich versuche trotzdem weiter zu helfen.

Insgesamt fordere ich eine nettere Community, die positiv auf Probleme reagiert. Außerdem sollten die User ihren Text lesen bevor sie ihn abschicken. Ich habe schon viele Posts hier gesehen, dem es an Niveau fehlt. Zum Glück gibt es ja die Moderatoren die da nachhelfen.

<span id="test">Text</span>

Auslesen:

document.getElementById("test").innerHTML;

Ändern:

document.getElementById("test").innerHTML = "Anderer Text";

Anders ist es bei einem Input Element. Da nimmt man einfach .value

<input type="text" id="test" value="Irgendwas"/>

Auslesen:

document.getElementById("test").value;

Ändern:

document.getElementById("test").value = "Irgendwas anderes";

Ich hoffe es hat dir weitergeholfen.

@ECB2 Stimmt. Ich gebe meine Fehler wenigstens zu. Habe die return Anweisung vergessen.

Zitat von ECB2

Und da du so ein cooler 1337 php programmer bist solltest du wissen, dass der Code den du gepostet hast vollkommen dumm ist.

Bitte erklär mir wann ich behauptet habe das ich ein "cooler 1337 php programmer" bin und belege mir wieso (abgesehen von der fehlenden return Anweisung) der Code vollkommen dumm ist? Wie kann ein Script bitte dumm sein?
Kleiner Tipp am Rande: Den letzten Code Schnipsel lässt sich einfacher Lesen wenn du Syntax Highlighting auf PHP setzt.

Edit:

$e = 'htmlentities';
$username = $e($_POST['username']);

Das ist echt ein hässlicher Programmierstil. Ich hoffe mal das du das so nicht überall machst.

@ECB2 Er hat sich an mich gewendet und wollte das ich ihm helfe es zu fixen.
Also kann er mir diese eine Zeile Code schicken was niemanden jucken sollte.

Zitat von ECB2

Wärst du tatsächlich an seinem Wohlergehen interessiert, hättest du ihn einfach auf die PHP Dokumentation hingewiesen. Die ist ausführlich genug.

Ich gehe mal davon aus, das jeder Intelligent genug ist eine Suchmaschine zu bedienen. Ich habe lediglich empfohlen die PHP Funktion htmlentities() zu benutzen, mehr nicht.

Da er es ja nicht geschafft hat sie zu fixen, fragt er einfach nach.. Wo liegt denn dein Problem?

Wenn man schon meckert soll man auch richtig meckern. Du schreibst einfach ein Code hierein der gar nicht funktioniert.
Hier was du geschrieben hast:

$username = htmlentities($_POST['username'], ENT_COMPAT, 'utf-8);

_{Wenn du ein richtiger PHP Programmierer wärst, dann hättest du den Fehler gemerkt den du gemacht hast.}
Korrektur:

$username = htmlentities($_POST['username'], ENT_COMPAT, 'utf-8');

Du hast den String 'utf-8 nicht geschlossen und dieses Board hat so eine schöne Syntax Highlighting. Eigentlich hätte das jeder blinde gesehen.

Edit: So würde ich es machen.

function e($s){return htmlentities($s);}
$username = e($_POST["username"]);

Durch diese Funktion spart man viel Code.
Anstatt immer htmlentities hinzuschreiben, einfach nur e("String") benutzen.

@phil Genau diese PHP Funktion habe ich auch vorgeschlagen, aber der Programmierer hat trotzdem per PN Kontakt aufgenommen da sie es nicht geschafft haben zu fixen.

Zitat:

Zitat

Würdest du mir bitte erklären wie ich das Fixe? Mit Specialchars
(htmlspecialchars) hab ich schon gearbeitet, nützt alles nichts
wäre dir dankbar!

Habe ihn darauf angewiesen mir Snippets zu geben, aber er hat nicht geantwortet bzw. war offline.
Außerdem empfahl ich htmlentities(), da ich bis jetzt nur gute Erfahrungen damit gemacht habe.

Thread kann auch ge#closed werden.
Betreiber hat Kontakt per PN aufgenommen und arbeitet mit uns zusammen an einem fix.
Fragen oder Anregungen per PN.

Zitat von AZeYReX

Windows Server, kein Normaler Mensch würde mit seiner Leitung einen Portscan betreiben

Von VPN hast du wohl noch nie gehört?
Ich als Mac Benutzer werde bestimmt kein WinDoof anfassen (es würde schon an der Bedienung scheitern). Ich kenne mich damit garnicht aus, außerdem halte ich nichts von automatischen Scannern (außnahmen sind sqlmap, nmap und knockpy).

@Kev In Danke. Habe ich sofort nachdem ich dein Post gelesen habe getan.
@AZeYReX Ich benutze kein Windows (ist ja nicht schwer auf dem YouTube Video zu erkennen), was die Voraussetzung dafür ist. (Wine funzt nicht)

Wollte nochmal erwähnen. Die Seite hat kein Impressum und keine Kontaktmöglichkeit. Wie hätte ich dann außer hier den Inhaber erreichen können?

Ich kann gerne den PHP Sourcecode fixen.
Wenn der Inhaber/Techniker/Programmierer den Service in Anspruch nehmen will, einfach hier die Snippets reinschreiben.
Ich werde ihn dann (versuchen) interpretieren und dann fixen.

Wenn es so ist, dann hätte er mich anschreiben können nachdem ich das hier Public gemacht habe.
Dann könnte man alles per PN klären.

Ob der Betreiber der Webseite diese Lücke fixed kann er ja selbst entscheiden. Ich habe gar nicht über eine hohe Gefahr gesprochen, also bitte hör auf lügen zu verbreiten. Dein Kommentar hilft dem Betreiber und niemanden anderen weiter.

Auf den nächsten Kommentar von dir werde ich nicht antworten.

GET: http://holohotel.ws/register
POST: username=" autofocus onfocus="alert(2)&mail=asdf%40sdf.com&submit=Weiter

Parameter username ist Vulnerable.
Wenn die Webapplication in PHP geschrieben wurde, empfehle ich htmlentities(); um diesen Bug zu fixen.

Weitere Fragen lassen sich per PM klären.