|
|
|
|
| Zitat von GH@NDI
Schlieslich muss der rest der Welt sich mit irgendwelchen match() und replace() Methoden zufrieden geben
| |
Das ist wirklich etwas das ich bei Python vermisse. Aber andererseits braucht man mit Python auf nicht so sonderlich häufig Reguläre Ausdrücke. Damit hackt man ja nicht, man schreibt richtige Software
Und so ein hässliches ~= würde auch die ganze Optik zerstören
|
|
|
|
|
|
|
Ach, papperlappapp!
Richtig fies wirds doch erst, wenn man sich die richtigen Seperatoren aussucht
s;ir;sig;gi;
|
|
|
|
|
|
|
Ich verbringe zu viel Zeit mit sed als das mich sowas schocken könnte
|
|
|
|
|
|
|
Mist
Aber irgeneinder findets bestimmt toll *hoff*
|
|
|
|
|
|
|
Guckt mal, ich kann HTML!
|
|
|
|
|
|
|
Ha! Und ich hacke dich jetzt! Hast nämlich deine IP PUblic gemacht! Hahahahaaha!
(Immerhin kann ich mir jetzt mal die Seite deines Arbeitsgebers anschauen )
|
|
|
|
|
|
|
Was issn das für nen Webseiten System? Wirkt irgendwie so, als würdet ihr alle Anfrage an über nen Reverse Proxy jagen?
http://www.kromberg-schubert.com/frameset.php?seite=/cgi-bin/test.cgi
Ach ne...halt...jetzt blick ich es auch
Die übergeben URL wird einfach ins Frameset eingebaut. Kein wunder dass ich dann schön brav die Meldung vom Apache bekomm
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GH@NDI am 14.08.2007 14:22]
|
|
|
|
|
|
Ich distanziere mich von jeder Art von Webseite die wir haben. Die kommen aus Bayern!
Und meine Arbeitsgeber rausfinden ist ohnehin nicht schwer, der Proxy trägt imho irgendwo in den HTTP-Request eine Adresse ein...du musst mich also nur irgendwo hinlocken
|
|
|
|
|
|
|
Ab jetzt hat Cross-Site-Scripting keine Chance mehr!
Warum habe ich nur nie früher den Filter-Funktion vom TemplateToolkit entdeckt
[% p.someParamFromUser | html_entity %]
Fertig ist die Laube. Bleiben nur noch schöne, gültige HTML-Entities übrig wie &-lt;. Übersetzt sogar Umlaute oder Buchstaben mit dächchen drauf
Wer mal probieren mag: Beispiel Einfach kram beim Benutzernamen angeben
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GH@NDI am 14.08.2007 14:46]
|
|
|
|
|
|
Das ist mal wieder so eine Seite die nach "Designer" schreit!
Nicht das unsere besser wäre, aber JS-Menüs, JS-Scrollbars, etc., sowas kann nur von jemandem kommen der sich keinerlei Gedanken über Benutzbarkeit und Browser macht, sondern nur sieht: "Hier noch eine Linie quer drüber, dann ists perfekt!".
Designer halt.
|
|
|
|
|
|
|
Benutzername "Kram":
You did not enter a password!
|
|
|
|
|
|
|
Die Idee ist ja jetzt, dass du in das Benutzernamen-Feld HTML-Code eingibst. Da natürlich das, was du in den Benutzernamen eingibst, beim nächsten Anzeigen der Login-Seite erneut eingetragen wird (sofern Benutzername und Passwort nicht passen).
Und wenn man da nicht aufpasst, wie das siggi vor kurzem erwähnte, tiefe XSS-Lücken in seine Applikation schiest
Template sieht so aus:
|
Code: |
<input type="text" name="username" value="[%p.username|html_entity%]" id="username" />
|
|
Würde man jetzt als übergabeparameter für username z.B. "><strong>Hallo Hallo</strong> übergeben, wäre die Seite fürn Arsch und man könnte z.B. auch JavaScript einbetten
Hab mal nochmal das gleiche Inputfeld drunter gemacht, nur ohne HTML-Filterung jetzt
Dann sieht man mal, wie leicht sich da Code einschleußen lässt
// Beispielusername: Ich bin noch im Input-Feld"><strong>Ich dagegen schon nichtmehr</strong>
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GH@NDI am 14.08.2007 14:59]
|
|
|
|
|
|
Sowas kann doch jedes vernünftige Templatesystem.
Django auch:
Hallo {{ username|escape }}
|
|
|
|
|
|
|
Ich habs grade erst entdeckt
Habe mich früher immer anders beholfen, indem ich vorweg einfach alles schon escaped habe, bevor es an die template engine geht. Aber so isses schon hübscher
|
|
|
|
|
|
|
Problem:
WebDAV, PHP5 und Apache2.
Ich möchte gerne die PHP - Dateien per WebDAV bearbeiten. Wie bringe ich jetzt dem Server bei dass er die .php als text/plain senden soll wenn ich nicht über einen Browser auf diese zugreifen will, sondern z.B. über Dreamweaver etc.?
|
|
|
|
|
|
|
Hmm...bei lighttpd könnte man sowas ganz Fix über eine regulären Ausdruck lösen, aber bei Apache...
[Dieser Post enthält einen versteckten Hinweis]
|
|
|
|
|
|
|
|
|
|
|
Zur Story von Jurassic Park 4
Angeblich sollen T-Rex & Co. diesmal nicht mit Reißzähnen und messerscharfen Klauen den Homo sapiens terrorisieren, sondern stattdessen zum Sturmgewehr aus der Waffenkammer des US-Militärs greifen - Taktik-Experten versprechen sich von einer bewaffneten Spezialeinheit mit Urzeit-Kräften durchschlagende Erfolge.
Zu geil, das klingt nach entzückendem B-Movie
|
|
|
|
|
|
|
Oh Gott nein...meine Freundin ist riesen JP Fan. Ich fand ja schon Teil 2 und 3 zum kotzen. Die saugt das alles auf
Wenn jetzt auch noch zeitnah Teil 4 in die Kinos kommt... *HändeÜberDemKopfZusammenschlag*
|
|
|
|
|
|
|
Gib sie mit, ich geh mit ihr ins Kino
|
|
|
|
|
|
|
Soweit kommts noch!
Bei solchen seltsamen Filmen, die sie unbedingt sehen will, lass ich mich zumeist einladen
Gleiches Spiel bei FantasticMovie. Mein Gott...was für ein Schrott!
|
|
|
|
|
|
|
hallo Leute, heute hab ich unter anderem greenwich angeschaut...ich muss schon sagen: sehr hübsches fleckchen Erde
Mein Füße spür ich aber auch kaum noch
|
|
|
|
|
|
|
Pff, von zwei Tagen Sightseeing?
|
|
|
|
|
|
|
| Zitat von #binbash
Pff, von zwei Tagen Sightseeing?
| |
du kennst nicht mein sightseeing
ich fahr nicht mit der bahn von einer "attraktion" zur nächsten, sondern laufe um auch mal ein bisschen mehr mitzubekommen. aua *mimimi*
|
|
|
|
|
|
|
|
|
|
|
Dokumentieren ist Krieg!
|
|
|
|
|
|
|
Bist du verrückt? In England zu Fuß unterwegs zu sein als deutscher? Da sind doch überall dieses ManU Schlägertrupps!!!!! Total Dangerous! Ausser vielleicht an diesem Trafalgar Square
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GH@NDI am 14.08.2007 16:55]
|
|
|
|
|
|
| Zitat von GH@NDI
Bist du verrückt? In England zu Fuß unterwegs zu sein als deutscher? Da sind doch überall dieses ManU Schlägertrupps!!!!! Total Dangerous! Ausser vielleicht an diesem Trafalgar Square
| |
morgen check ich mal chalsea ab -vllt treff ich da ja einen
Außerdem bin ich (hoffentlich) auch nicht gleich als deutscher erkennbar. Bin eh kein Fußballfan (also kein Trikot) und Sandalen, in die ich weiße Socken stecken könnte hab ich auch nicht.
|
|
|
|
|
|
|
Warum mache ich mir eigentlich solche Away-Nachrichten:
Ich bin auf der _ARBEIT_. Und das meine Ich so. Ich bin wirklich, wirklich nicht da und wenn mir jemand eine Nachricht schreibt wird sie erst heute abend gelesen! Das ist doch nicht so schwer:
Online -> Da
Away -> NICHT DA
Wenn mich dann trotzdem Leute anquatschen und fragen "Da?"
|
|
|
|
|
|
|
die meisten lesen die aways halt nicht...
bei der away klingst du btw ganz schön frustriert
|
|
|
|
|
|
Thema: Gehirnsalat ( wir unter uns ) |