Hola!

Ich hab da mal ne Frage, auf der Homepage der Firma wo ich beschäftigt bin ist jetzt auch ein Forum eingerichtet worden, welches auch HTML Code erlaubt. Kann man durch diese Option irgendwelchen Mist bauen, ka. beim öffnen des Threads direkte Weiterleitung zu irgendeiner Internetadresse, schliessen des Browers etc?

Wenn ja, wüsste ich gerne, was für HTML Code ich posten müsste, damit soetwas geschieht, um die "Sicherheitslücke" (falls man das so nennen kann) aufzuzeigen. =)


Vielen Dank im Vorraus!

naja ..

jemad könnte zb eine tabellenspalte bzw zeile anfangen ... und somit die anzeige des forums ändern .. so das zb nicht mehr alles angezeigt wird

er könnte aber auch eventuell (ka was die forumssoftware tut) ein script ausführen und sonstwas damit anstellen

wenn html aktiv ist kann er so ziemlich alles machen was man mit html eben machen kann

Es würde schon ein


<html>
<form>
<input type crash>
</form>
</html>


ausreichen, um zumindest einige IE User auf die Schnauze fliegen zu lassen, wenn sie den Thread aufmachen.

Aqua

Original geschrieben von Aqualon
Es würde schon ein


<html>
<form>
<input type crash>
</form>
</html>


ausreichen, um zumindest einige IE User auf die Schnauze fliegen zu lassen, wenn sie den Thread aufmachen.

Aqua


leider nicht, es sei denn, die Vorschau reicht nicht aus, um den IE User "auf die Schnauze fliegen zu lassen".

Ich habs probiert, und dabei rausgekommen ist folgendes:

http://mitglied.lycos.de/casi1001/3DCenter/html.JPG


Schade, noch jemand ne Idee??

einfach nur mal

</TABLE>

schreiben :D

Original geschrieben von JTHawK
einfach nur mal

</TABLE>

schreiben :D

nö, passiert leider nichts. hrmpf, sieht genauso aus, wie auf dem Bild welches ich gepostet habe, nur das dann halt </TABLE> da herinnensteht.

Nachdem er das Inputfeld darstellt, werdet ihr wohl schon den Patch gegen diesen Fehler drauf haben.

Was mir noch einfallen würde:


<table width="500" height="500"><tr>
<td onmouseover="javascript:document.location.href='http://www.heise.de'">&nbsp;</td>
</tr></table>


Zum einen dürfte die Tabelle das Layout schon stören und zu anderen wird automatisch eine Seite geladen, wenn man drübergeht.

Edit: javascript natürlich zusammenschreiben.

Aqua

Original geschrieben von Karl|Krake
nö, passiert leider nichts. hrmpf, sieht genauso aus, wie auf dem Bild welches ich gepostet habe, nur das dann halt </TABLE> da herinnensteht.

Dann wird HTML wohl nicht wirklich an sein oder es ist ein Syntaxcheck eingebaut.

Aqua

Original geschrieben von Aqualon
Nachdem er das Inputfeld darstellt, werdet ihr wohl schon den Patch gegen diesen Fehler drauf haben.

Was mir noch einfallen würde:


<table width="500" height="500"><tr>
<td onmouseover="javascript:document.location.href='http://www.heise.de'">&nbsp;</td>
</tr></table>


Zum einen dürfte die Tabelle das Layout schon stören und zu anderen wird automatisch eine Seite geladen, wenn man drübergeht.

Edit: javascript natürlich zusammenschreiben.

Aqua


same here, passiert wieder nichts. Schade eigentlich, hätte mir gerne nen Gag gemacht, aber trotzdem Danke für die Mithilfe!!! =)

Kannst du HTML-Links einbauen? Dann kannst den ja mal mit dem onmouseover von oben ergänzen.

Aber wahrscheinlich ist javascript total gesperrt. Und das HTML an wird sich wohl nur auf einige wenige Befehle wie vielleicht <b></b> oder <br> beziehen.

Aqua

yep, <b></b> usw. funktioniert (Bilder einfügen, urls und mailadressen etc).
Das mit dem Mouseover klappt nicht, der Code wird dann einfach nur so dargestellt.