Sup!

Also, ich kenne eine PHP Seite, die bastelt das Seiten-Layout mit einem PHP-Skript, den jeweiligen Inhalt der Seite kann man per Parameter angeben. Dieser Parameter sollte eigentlich auf eine lokale Seite zeigen, aber entfernte URLs gehen auch - damit kann man beliebigen PHP-Code mit den Rechten der PHP-Seite ausführen lassen... tja... seit einigen Tagen stehen merkwürdige Nachrichten in den News dieser Seite...

:-)
Tja sowas passiert. Ich weis von einer Seite wo man die Möglichkeit hat, als Besucher Bilder hochzuladen - Das ist zumindest das, was man damit machen soll. Pech nur, das auch PHP Dateien beliebiger sorte hochladbar sind. Es kamen dann z.B. erstaunliche Meldungen im Forum vor, von Leuten, die es entweder gar nicht gab, oder aber die steif und fest behaupten niemals einen derartigen Text geschreiben zu haben. Das Forum benutzt eine MySQL Datenbank...

Wie man nun die Möglichkeit PHP Dateien hochzuladen und auszuführen nutzt um an den Benutzernamen und das Passwort des Datenbankusers für das Forum zu gelangen, überlasse ich dem Ideenreichtum des Lesers...

Dann gab es noch die eine oder andere Änderung an Bildern und sonstigen Inhalten der Seite...

Alles nur wegen eines schlecht gemachten Upload-scripts...

bye
ich