Vervelende PHPBB hack

[Aniblaze]

Hallo,

Ik ben regelmatig te vinden op een hackers forum en nu is daar een vervelende PHPBB 'hack' op uitgekomen. Ik vroeg mij af of hier iets tegen te doen is. Het breekt de tabellen af zodat er niet meer gezien kan worden wat er op de rest van de pagina staat.

Het heet 'waterfall' en is gemaakt door een hack(st)er genaamd 'Appalsap'. Ik heb de hack in een bestand bijgevoegd. Afgezien van het aantal quotes limiten zie ik niet in wat er aan te doen is.

Groeten,
Ani

Bijlage: This thread has been waterfall'd!

[Paul]

Dit is geen "hack", maar gewoon een HTML iets, wat ervoor zorgt dat bericht boven zijn max komt en de page niet goed renderd, niks bijzonders.

[Ramon Fincken]

de ellende is dat modificaties ( stukjes code of HTML opmaak ) vaak onder meerdere namen gaan:

* mod
* modification / modificatie
* hack

hack kan een afkorting of werkwoord zijn voor hacking ...
mod is ook weer zelf een afkorting voor moderator om het even simpel te houden


en in dit geval is het een keurige modificatie, sterker nog het is gewoon een stukje output ( BB code ) welke je in het nieuw bericht vak kan tikken

zie bijlage voor resultaat ..

[ElbertF]

Iedere aanpassing in code is in feite een hack, goed- of kwaadschiks.

Je kan het melden in de bugtracker, het lijkt me dat ook uitzonderlijk lange berichten gewoon goed gerenderd moeten worden.

[Ramon Fincken]

Iedere aanpassing in code is in feite een hack, goed- of kwaadschiks.

Je kan het melden in de bugtracker, het lijkt me dat ook uitzonderlijk lange berichten gewoon goed gerenderd moeten worden.

klopt, maar dit is gewoon een rijtje BBcode, niets nieuws onder de zon toch?
Ik heb niet gekeken of het aantal opening quotes gelijk staat aan het aantal closing quotes.

[ElbertF]

Het gaat erom dat er bij het opslaan een deel van de code verloren gaat waardoor een tags niet worden afgesloten.

Zeg dat de maxlengte van een bericht 5 regels is, dan zou dit fout gaan:

Code: Selecteer alles

<div>
    <div>
        <div>
        </div>
    </div>
</div> <-- niet opgeslagen

[Paul]

Dat komt niet door phpBB, maar de de maximale grote van het database field, wat het probleem is.

[ElbertF]

Dat betekent niet dat de devs er geen rekening mee hoeven te houden, zeker niet als het misbruikt kan worden.

[Ramon Fincken]

een oplossing voor lange titels:
http://www.phpbb.com/community/viewtopic.php?t=438692

er is er ook ergens een voor het veranderen van het textveld in je database , maar die vind ik 123 niet zo snel

[ElbertF]

Daar gaat het hier niet om hoor, je kan in de DB instellen wat je wilt maar er blijft een limiet (65kB geloof ik). De berichten moeten gewoon op een correcte manier worden afgebroken (bijv. door de BBCode pas te controleren en verwerken ná het afbreken).

[Paul]

Dit is niet echt misbruik, maar gewoon een flauw grapje. Verder verschilt het per DBMS en instellingen hoe groot de limiet is.

[ElbertF]

Daar is de DBAL toch voor? En misbruik zal wel meevallen, maar als een etter overal de helft van de berichten onzichtbaar maakt is het toch een hoop gedoe om het in orde te maken. De devs hebben meer van dit soort bugs gefixt, zelf heb ik gerapporteerd hoe de limiet op topictitels omzeilt kon worden, en hoe je flash en afbeeldingen van een miljoen pixels hoog kon posten (wat ze in eerste instantie ook zo wilden laten).

[Paul]

Report het asl bug dan? Dit "bugje" bestaat al sinds voor 2.0.0, en ik zie niet dat het gefixed gaat worden, en ik heb het nog nooit misbruikt zien wordne.

[Aniblaze]

Bedankt voor alle responses. Het is inderdaad een vervelend 'trucje' om het zo maar even te noemen. Ik zal in ieder geval de beheerder van de website even contacten en hem hierover informeren. Want er word grof misbruik van gemaakt op de website. Zodra een member een topic wil laten crashen kan deze dat heel gemakkelijk op deze manier doen. En niemand die ziet wat er na de 'waterfall' gepost word. Ik zal het dan maar reporten als een bug. Hopelijk kan er iets aan gedaan worden.

[Ramon Fincken]

dan zou ik in dat geval de regels aanpassen en waar nodig mensen/leden op inactief zetten, want dit is moedwillig lastigvallen van anderen ..