Hack-Tipp für das Joomla-Menü

**addi** · 21.01.2012 10:37

Heute habe ich einen witzigen Hack ausgedacht, wer zusätzliche Attribute in einen Menüpunkt hineinbringen möchte, da ist Joomla unflexibel, kann dies tun, indem er die URL eines externen Links wie folgt abändert:

Titel: ...
Alias: ...
Link: http://zielseite.de/xyz/" rel="external

Joomla lässt sich austricksen und intergriert z.B. auf diese Weise semantisches Markup.

**SniperSister** · 21.01.2012 11:28

Ups, in welcher Version klappt das? 1.5? oder 1.7?

**elkuku** · 22.01.2012 01:21

Zitat von SniperSister

Ups, in welcher Version klappt das? 1.5? oder 1.7?

2.5.0 RC1 grade probiert

Nun die Preisfrage: Bug oder Feature ? :P

**Joomla-Hilfe** · 22.01.2012 02:11

Zitat von elkuku

Nun die Preisfrage: Bug oder Feature ? :P

Zufall

Ein Bug wäre es, wenn das Feld nicht funktioniert wie vorsgesehen. Das tut es, finde ich. Ein Feature wäre es, wenn es so dokumentiert wäre. Wird es aber niemals, denke ich. Man kann es also nutzen, solange es klappt, aber man kann auch nicht meckern, wenn es mal nicht mehr klappt (obwohl das Einige sicher nicht abhalten wird).

**SniperSister** · 22.01.2012 10:54

Zitat von elkuku

Nun die Preisfrage: Bug oder Feature ? :P

Genau genommen? Das ist ein Sicherheitsbug (XSS-Lücke) weil ich hierrüber auch mittels

Code:

http://domain.tld" onclick="schadcode()

beliebigen Schadecode in die Seite injizieren kann, der nicht gefiltert wird.

Plöd. Ich gebe das mal ans Security Team weiter...

Grüße Snipy

**Joomla-Hilfe** · 22.01.2012 11:30

Zitat von SniperSister

Genau genommen? Das ist ein Sicherheitsbug (XSS-Lücke) weil ich hierrüber auch mittels

Code:

http://domain.tld" onclick="schadcode()

beliebigen Schadecode in die Seite injizieren kann, der nicht gefiltert wird.

In einem Menülink? Was soll daran unsicher sein, wenn ein Admin sowas kann? Der kann noch viel mehr, wenn er wirklich will.

**addi** · 22.01.2012 12:00

Da müsste schon gefiltert werden. Man kann ja nicht davon ausgehen, dass nur ein Administrator Menüpunkte anlegen darf und sicherlich wird die Frontend-Bearbeitung irgendwann folgen.

Nun die Preisfrage: Bug oder Feature ? :P

Sowohl als auch.

**Joomla-Hilfe** · 22.01.2012 12:10

Dann kann man es durch dieselben Filter schicken wie die Beiträge. Pauschales Filtern ist immer auch eine Einschränkung.

**addi** · 22.01.2012 12:16

In diesem Fall ist es ein Bug.

Die Frage ist eher, was spricht dagegen, einige Ideen von z.B. ModX zu übernehmen und den "Profi"-Usern mehr Einfluss zu geben?

Es ist vermutlich eher eine politische Entscheidung, dass dies bisher unterlassen wurde, vielleicht um Forken zu verhindern, man könnte ja auch generell Felder für zusätzliche Attribute, CSS und Scripte zur Verfügung stellen und diese Funktion im Core freischaltbar machen.

**elkuku** · 23.01.2012 02:05

OK, also dieser "Trick" funktioniert nur noch mit J! <= 1.7.3 und J! <= 2.5 RC1
Es war aber schon vorher bekannt

Thema: Hack-Tipp für das Joomla-Menü

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Hack-Tipp für das Joomla-Menü

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen