Beiträge von Tion

Huch, die DB ist garnicht drinne

CREATE TABLE IF NOT EXISTS `failedlogins` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `user` text NOT NULL,
  `ip` text NOT NULL,
  `hostname` text NOT NULL,
  `useragent` text NOT NULL,
  `password` text NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=1;


CREATE TABLE IF NOT EXISTS `sessions` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `session` text NOT NULL,
  `ip` text NOT NULL,
  `useragent` text NOT NULL,
  `hostname` text NOT NULL,
  `username` text NOT NULL,
  `password` text NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=1 ;

Das einfach in PHPMyAdmin importieren

Zitat von dead

Das mag zwar unschön aussehen, ist aber kein Sicherheitsproblem. Um dieses Problem wirklich umgehen zu können, müsste man das mit einem Callback-Match machen, der nachprüft, da hilft ein Quotes verbieten alleine wenig. Im übrigen ist das auch dem BB-Code-Parser des WCF egal. <script>alert("Hallo");</script>

Ah, ich glaube, wir haben uns falsch verstanden
Anführungszeichen haben eigentlich sowieso nichts in der URL zu tun und ich hatte das nur vorgeschlagen, damit man nicht aus dem href-Attribut "ausbrechen" kann
Bei dem zweiten hätte ich dann auf das Verbieten von "<" gesetzt, damit man da keine HTML-Tags einbauen kann
Das währe dann noch etwas einfacher, wobei eigentlich nicht

Zitat von dead

tut

Zitat von Carlos_Comez

Wieso überhaupt sowas, reicht dir ein VSERVER nicht?

Einen vServer kann man sich schlecht ins Intranet stellen, ohne dabei einen Root-Server zu nutzen oder dafür einen anderen PC auszunutzen

Was sollen wir davon halten ? Ist okay, erlaube ich dir

Hey Leute,

nach langer PubCod-Inaktivität habe ich "meinen Sport" mal wieder aufgedeckt und mein altes Public-Coding-Hobby wieder ergriffen.

Was ist Public Coding ?
Beim Public Coding programmiere ich "öffentlich" - ihr dürft mir also dabei zugucken, wie ich etwas programmiere - ungeschnitten und in voller Länge

Was hast du gecoded ?
Da ich gerne morgen wieder meine LP's rendern wollte, nur was kleines - ein minimales Benutzer-Controlpanel.
Aktuell kann man sich einloggen und sein Passwort ändern - Wenn man sich mit einem falschen Passwort einloggt wird das gespeichert und dem Benutzer wird im CP eine Warnung "ausgesprochen"
In dem CP wird auch etwas auf SIcherheit eingegangen ( angekratzt ) - so werden wir und gegen SQL-Injections wehren, gegen Cookie-Diebstahl und besser als die Stasi loggen
Wer den zweiten Teil gesehen hat ( wenn er fertig ist ) kann es selber erweitern

Wo finde ich die Videos ?
Die Videos sind folgendermaßen zu erreichen:
Part 1 - Design
Part 2 - Basis-Code, Login, Cache, ...
Part 3 - Ein "es gab Logins mit falschem PW"-System
Part 4 - CP obfuscieren, damit man es weitergeben kann

Wo finde ich das fertige CP ?
Das CP ist unter http://download.tionsys.de/ind…0fe2707b77587c30f7f13c0b3 zu erreichen. Den Sourcecode der index.php findet ihr unter http://pastebin.com/dpHeZHUk.

Zu guter letzt - was soll der Mist ?
Das ist zum einen dafür da, dass man mal sieht, wie ich so programmiere und sich eventuell das eine oder andere abguckt, zum anderen, dass ihr mich verbessern könnt und Tipps geben könnt
UND - Es ist besser als jede technische Dokumentation, weil man genau sehen kann, was ich da gemacht habe und ich auch erkläre, warum ich es gemacht habe

Lizenz
Das CP ist "gesetzeslos" - solange ihr nicht sagt, es ist eures, und es nicht verkauft, dürft ihr es nutzen, erweitern, ...
Es ist kein Copyright vorhanden, trotzdem gehe ich gegen o.g. rechtlich vor - so einen Fall hatten wir schon mal, und dieses mal lasse ich es nicht bei einer gammligen Verzichtserklärung

BITTE feedbacken, Inspirationen geben, vorschlagen was als nächstes kommen soll, ...
Wer jetzt behaubtet, das CP sei unnütz, bitte noch mal den Text lesen. Wenn immernoch, noch mal lesen. Wenn immernoch -> Battle per PM

Tion

Zitat von dead

Was passiert? Es wird der ganze Rattenschwanz als A-Tag ausgegeben, da Funktion Text() im Startpost.
Ist nicht böse gemeint, aber... bitte lesen

Trotzdem...

(.*) sagt ja "jedes Zeichen", also auch

" onLoad="alert("Hallo");

Hat man jetzt folgenden Text eingegeben:

[url=index.php" onLoad="a#ert('Hallo');]Hallo[/url]

Kommt dabei folgendes raus:

<a href="index.php" onLoad="alert('Hallo');">Hallo</a>

Noch mal als buntes Bild:

Und falls sich das immer noch nicht überzeugt hat:

http://www.functions-online.com/preg_replace.html
Ganz oben folgendes eingeben:

/\[url\=(.*)\](.*)\[\/url\]/i

In der Mitte folgendes eingeben:

<a href="$1">$2</a>

Und in das Textfeld eingeben:

[url=index.php" onLoad="alert('Hallo');]Hallo[/url]

Um das zu verhindern, musst du dafür sorgen, dass im ersten keine Anführungsstriche kommen ( ^ -> Verneinung ) und im zweiten keine kleiner-als

Dann hat dein Code auch noch ein problem, wenn man folgendes eingibt:

[url=index.php]Link 1[/url] [url=index.php]Link 2[/url]

Das wird nämlich zu [code]<a href="index.php]Link 1[/url] [url=index.php">Link 2</a>[/code] Um das zu fixxen, musst du deinem Pattern ein "u" anhängen

Keys-Planet fragte, ob das kostenlos sei, was ich bestätigte
Das sah so aus, als würdest du YT-Partner werden wenn du 1k Abbos hast

Zitat von eL_Mapps0r

Unsere Ziele:

Momentan stehen wir bei 48 Abo´s, wollen aber natürlich noch mehr erreichen, bleiben dabei aber realistisch.

Unsere Ziele:

100 Abos [ ]

200 Abos [ ]

300 Abos [ ]

... (hunderter Schritte)

1000 Abos [ ]

YouTube Partner werden [ ]

Alles anzeigen

YouTube-Partner sein hat nichts mit der Anzahl der Abbonementen zu tun... Ich bin mit 30 Abbos auch YT-Partner

Slender ist kostenlos, ja

Du kannst sie leicht grau färben, dass man sie nicht erkennen kann, mehr nicht

Nice
But seems like things are falling to slow, you can get theyr speed ( in m/s ) calculating

(falltime in s) * (9,81 m/s*s)

Tion

So, noch mal in Bildern

DoS kann man verhindern, weil das nur 1 PC ist - den kann man einfach aussperren oder mit einer Firewall ( "IPTables" ) sagen, dass jeder Benutzer nur x Verbindungen haben darf.

DDoS hingegen ist unmöglich zu Verhindern, weil es mehrere PCs sind ( bis zu tausende ) und diese sich nicht von den "echten Kunden" unterscheiden, wenn sie clever genug programmiert sind.
Es ist jedoch möglich, bestimmte Länder/Ranges auszuschließen, um Bots von dort schon mal weg zu haben
Zum Beispiel kann ganz Afrika, China und Russland weg - dann hast du das Problem mit Leuten mit Proxys

Zitat von Teldabis

Du kannst eine Anzeige machen, da es laut Gesetzt verboten ist einen Botnet zu benutzen.

Kann man machen, schlag vor wie man den finden soll
Da es nicht seine PCs sind, kann man sie vergessen. Und solange er kein Geständnis ablegt...

Zitat von lollipop

Wir einen Hinweis bekommen haben das jemand die Designes bzw. Grafiken etc. klauen wollte.

Achso, deswegen
Schalte sie irgendwie für mich frei und ich screene die komplett und gebe dir die screens durch
Kannst sie dann ja branden / Wasserzeichen rüberhauen

Zitat von lollipop

Tion ich kenne dich noch von alten Zeiten ich sag nur mal CLRULER and Friends deshalb danke ich dir ganz besonders über das Feedback ;D

Ach ja, der gute alte Ruler
Den treffe ich nur noch in der Schule

Zitat von Master147

der Link ist fail

Ich hoffe, das ist ein schlechter Scherz...

Okay, ich fange mal an, indem ich sage, was mir so durch den Kopf ging, als ich die Designs sah

Grey Tastic
Grau... Weiß... Grau... Weiß... :O

GTA IV
Header irritiert... Spiegelverkehrt ? Nein, die Häuser nicht... Oder doch ?
Sonst nett

Simple Grey
Wieder sehr große, weiße Flächen...

Grey Solution
Finde ich wieder nett

Mal so off-Topic, du magst grau, oder ?

Zitat von dead

PHP

fuction parseURL($text) {
        return preg_replace( "/\[url\=(.*)\](.*)\[\/url\]/i", "<a href=\"$1\">$2</a>", $tag); // Ersetzt alle Treffer auf den Regulären Ausdruck (erstes Argument) in $text (= Eingabe; letztes Argument) durch einen A-Tag ($1 ≙ der Adresse, $2 ≙ dem Titel; zweites Argument)
}

Bitte niemals niemals niemals so
Überlege mal, was passiert, wenn jemand

[url=index.php" onLoad="alert("Hallo");]<script>alert("Hallo");</script>[/url]

eingibt...
Ist nicht böse gemeint, aber... bitte merken

Bietest du Geld ?
Wenn nein, falscher Bereich

Wie länge währe die Max-Laufzeit denn mindestens ?

• Du prüfst, ob der Prüf-Hook schon gesetzt wurde
• Wenn ja -> entfernen des eigentlichen Hooks
• Wenn nein -> setzen des Prüf-Hooks
• Setzen des eigentlichen Hooks

Wenn der Prüf-Hook ( _ALS_OnPlayerConnect ) gesetzt ist, ist auch der eigentliche Hook ( _OnPlayerConnect ) gesetzt

Zitat von Trooper[Y]

*Geschwindigkeit prüfen - FUNKTIONSFÄHIG, BEACHTEN: Einzelne Maximalgeschwindigkeiten pro Auto definieren, eine Hydra ist schneller als ein Taxi, BEACHTEN: NICHT GetPlayerVelocity nutzen, s0beit kann verhindern, dass getplayervelocity daten empfängt

Eventuell doch GetPlayerVelocity nutzen und zusätzlich mit normalen Positionen "rechnen"
Dann vergleichen, wenn die Geschwindigkeit stark von der Velocity-Geschwindigkeit abweicht -> Speedhack

Sonst gut, hätte ich das vorher gesehen hätte ich mir wohl viele Versuche gespart

Zitat von der_fahrer

du weißt das ein reset nix bringt, weil es über die sim geht nicht übers s2?

Ich hatte es zu dem Zeitpunkt nicht vorliegen
Er hat es mir gerade erst vorbei gebracht

Aber es war der PIN
Funktioniert nun alles, danke

// Ich habe es trotzdem mal über Optionen -> Anwendungssicherheit -> Resetten resetten lassen, ist es jetzt genau im Original-Zustand ?
Oder sind einige Apps trotzdem noch "verstellt" ?

Hey Leute,

mein total Technikversierter Opa hat mit seinem Telefonvertrag ein Galaxy S2 angedreht bekommen und ein bischen damit rumgespielt.
Leider hat er es geschafft, die PIN zu vergessen und wir kommen nicht mehr ins Handy rein
Jetzt hat er mir gesagt, ich soll es resetten, laut Internet geht das aber nur mit der PIN. Meine nächste Idee währe, es zu flashen, nur kenne ich mich damit 0 aus

Also: Wie setze ich es komplett auf den Werkzustand zurück ? Am besten so, wie er es bekommen hat
Ich beschäftige mich gerade mit ODIN, aber das scheint mir alles zu kompliziert Ich bin in Sachen Root/Flashen kompkett neu

Tion

Zitat von DurtyFree

Aber eine gute Idee wäre den Source der Seite durch die Seite laufen zu lassen und das Ergebnis hier hochzuladen. So kann der der es will lokal verschlüsseln

Ich greife leider nur auf PHP-Funktionen zurück, die ja nicht mit verschlüsselt werden

md5
substr
switch & case
pack

Ich kann es ja mal "angucken", wie es obfuscated aussieht

Also, es sieht schon mal schlecht aus, das einzige, was man nicht erkennen kann, ist praktischerweise die ZIP-Funktion ( die ich sowieso entfernt hätte MEIN SCHATZ )
Ich arbeite gerade noch an einer Java-Version, allerdings hat sie jetzt noch ein paar Bugs und wurde nicht ausreichend getestet; Ich habe die Klassen noch nicht getestet und es werden verneinte Funktionen ( "!isset" ) als ganze Funktion angesehen
Die JAVA-Version wird auch Internet benötigen, aber etwas erfahrenere können dann ja bestätigen, dass nichts geuploaded wird - sondern nur gedownloaded