Forbidden error bij reageren op forumtopic ?!

Overzicht

Sponsored by: Vacatures door Monsterboard

Thomas van den Heuvel

Thomas van den Heuvel

05/03/2015 14:43:08
Anchor link
TL;DR: SQL in lopende tekst levert een 403 Forbidden error op bij plaatsen / bijwerken van een bericht op het forum. Wordt waarschijnlijk veroorzaakt door een of andere gare blacklist check op invoer, maar dat lijkt mij de (compleet) verkeerde aanpak.

---

Forbidden

You don't have permission to access /forum/reply/97379/ on this server.
Apache Server at www.phphulp.nl Port 80

lolwut?

En vervolgens lukt dit om 1 of andere reden dan toch ?

Maar dan:

Forbidden

You don't have permission to access /forum/topic/variabelen-onthouden/699977/wijzigen/ on this server.
Apache Server at www.phphulp.nl Port 80

:(

Vreemdgenoeg kan ik hier wel een topic plaatsen/wijzigen.

What is going on?

Toevoeging op 05/03/2015 14:56:48:

Als ik op deze plaats mijn oorspronkelijke tekst knip en plak heb ik precies hetzelfde probleem, maar als ik deze tekst helemaal uittyp werkt het wel? Waarom werkte dat dan de eerste keer niet? -_-

EDIT: LOOOOOOOOOOOL, ik ben er uit, als je de volgende passage op 1 regel zet:

1 OR 1 [=] 1
(zonder [] dan he)

Dan krijg ik een forbidden error.

Sorry, maar wat is dat voor debiele beveiliging middels een blacklist? Dit forum escaped hopelijk toch wel output (zowel bij afdrukken op de site als bij een insert/update in de database)?

AYYY LMAO

EDIT: het probleem lijkt breder, ik had zojuist de volgende SQL in lopende tekst zitten (zonder de deelstreepjes):

I-N-S-E-R-T I-N-T-O table (a,b,c) V-A-L-U-E-S (1,2,3), (4,5,6), ..., (7,8,9)

Ik krijg weer een Forbidden error. En bij andere varianten van de bovenstaande query wordt mijn tekst gewoon afgekapt? Ahaha.

Really, WTF.
Gewijzigd op 05/03/2015 23:45:35 door Thomas van den Heuvel
 
PHP hulp

PHP hulp

22/12/2024 07:27:19
 
Thomas van den Heuvel

Thomas van den Heuvel

12/03/2015 15:26:21
Anchor link
Opnieuw een melding van iemand die geen code kan plaatsen, waarschijnlijk vanwege de gare input controles die plaatsvinden...
 
Ward van der Put
Moderator

Ward van der Put

12/03/2015 16:45:31
Anchor link
Tegen dit probleem liep ik eerder deze week ook aan.
Het verdween toen ik een stukje over D R O P T A B L E had verwijderd.

Lijkt me inderdaad niet de juiste aanpak.
 
Thomas van den Heuvel

Thomas van den Heuvel

14/03/2015 22:50:06
Anchor link
En nog een.

Toevoeging op 15/03/2015 14:23:46:

En nog een.

Toevoeging op 15/03/2015 14:54:24:

En nog een.
 
Thomas van den Heuvel

Thomas van den Heuvel

21/03/2015 16:24:33
Anchor link
Okay, ik mag blijkbaar ook geen javascript:void(0) gebruiken in codeblokken als href van een hyperlink.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
<a href="java script:void(0)">w00t</a>


Lopende tekst en code blokken hebben blijkbaar verschillende blacklists.

G fucking G.
Gewijzigd op 21/03/2015 16:49:54 door Thomas van den Heuvel
 
Thomas van den Heuvel

Thomas van den Heuvel

24/03/2015 14:51:28
Anchor link
2048 / 1024 is 2

Ook het teken = in lopende tekst lijkt problematisch... Script gaat op zijn bek als ik in bovenstaande tekst is vervang door het teken =.

I mean. Really?
Gewijzigd op 24/03/2015 14:57:18 door Thomas van den Heuvel
 
Thomas van den Heuvel

Thomas van den Heuvel

29/03/2015 13:31:32
Anchor link
En nog een.
 
Thomas van den Heuvel

Thomas van den Heuvel

03/04/2015 12:32:03
Anchor link
CONCAT in codeblokken werkt niet

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
SELECT CON CAT(var1, '-', var2)
FROM whatever


...

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
<?php
// nope
$whee = $db->query(
    "SELECT CON CAT(var1, '-', var2)
    FROM whatever"

);
?>
Gewijzigd op 03/04/2015 12:33:30 door Thomas van den Heuvel
 
Thomas van den Heuvel

Thomas van den Heuvel

05/04/2015 22:20:33
Anchor link
En nog een.

Zijn er uberhaupt plannen om deze gare controles er eens uit te slopen?
 
Tortuga web

tortuga web

06/04/2015 20:07:38
Anchor link
En nog één!
Hoe kan ik m´n vraag nou duidelijk uitleggen, als code een forbidden-melding geeft?
En waarom zie ik anderen wel code uploaden en lukt het mij niet?
 
Thomas van den Heuvel

Thomas van den Heuvel

06/04/2015 20:12:32
Anchor link
Bij het plaatsen van lopende tekst en/of code struikelt deze website in elk van deze twee onderdelen over verschillende soorten "verboden input".

Hierboven staan al een aantal gevallen beschreven in welke context (codeblok, lopende tekst) welke content verboden is.

De "truuk" is meestal het isoleren van het tekst- of code-deel wat voor problemen zorgt, en hier dan omheen te zeilen door bijvoorbeeld een spatie toe te voegen in de "verboden passage".

Maar goed, deze controles zijn natuurlijk complete bullshit. Het is de verkeerde manier om dingen "veilig" te maken.
Gewijzigd op 06/04/2015 20:14:51 door Thomas van den Heuvel
 
- Ariën  -
Beheerder

- Ariën -

11/10/2016 01:08:28
Anchor link
Allang opgelost :-)
 
 

Dit topic is gesloten.



Overzicht

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.