Angriffe

• Per Variable die Angriffe vom Wurm/XSS zu einer Internet-Adresse schicken
• XSS mit Base64 bei Chrome Probieren
• Alle Dateien auslesen
• Dateien ohne Einschränkungen hochladen
• SQL-Injection mit Base64 bei Chrome versuchen
• PHP-Code-Injection mit ??php=${code}??
• Brute-Force-Angriff mit JavaScript (Wörterbuch)
• Im Sicherheitsmodus Brute-Force-Attacken nicht zulassen (Über Session)
• Versuchen den Wurm beim nachträglichen Bearbeiten zu verstecken
• Prüfen ob der Worm die Daten noch Domain-Übergreifend verschicken kann
• Der Wurm macht bei älteren PHP-Versionen Probleme
• JavaScript BotNet mit Wurm als Client und das Forum als C&C-Server
  • C&C-Center als Virtuelles Profil
  • Befehle per JavaScript-Download (Datei)
  • Möglichkeit einzelne Bots Befehle zukommen zu lassen
  • Befehle wie:
    • Besuch einer Webseite (HTTP-Url) evt. auch mit Schleife
    • Wurm löschen
    • Profil ändern (Verworfen)
• Die Angriffe für den Internet-Explorer anpassen
• SIJ: Wo alle Chat-Inhalte ausgegeben werden
• Der BotWurm könnte seine Laufzeit (Startzeit) ermitteln
• Hack-Upload sollen mehr als 5 KB möglich sein durch foreach/update
• Beispiel-Hack mit Webcam-capture anbieten
• Keylogger über Bot
• Angriffe nun Möglich, wärend die User Chatten
• Verschlüssung kann durch den Bot ausgehebelt werden
• Mitlesen von verschlüsselten Chats in Echtzeit (Wenn man die Keys vom Bot bekommen hat)

Mails

• Empfänger darf Mails löschen
• Mails mit Lesebestätigung (Status per Bitebene dazu benutzen)
• Mails an sich selber als Memo interpretieren (Um z.B. nachträglich weiter bearbeiten zu können)
• Post-Eingang/Ausgang in der Profilübersicht anzeigen
• Preview in der Forum-Administration und der Memo-Funktion verbessern
• Neue Mails im Profil aufzählen
• Neue Mails nie in Themen verstecken
• Abbruch der Bearbeitung von Mails führt ins leere (Such-Fehler)
• Neue Mails im Menü sollten auffallen (Blinken!)

Creole

• Data-Uris in Links erlauben
• Anker-Links werden unterstützt
• Escape für Creole Smilies
• Definitionslisten mit Wiki-Creole
• Creole " Pretext "
• Creole-Probleme mit ' und " in einigen Markups
• Probleme mit Quotes für Notes in Links umgangen
• Class-Angabe für Links und Images ermöglichen
• Eigene Funktionen in die Creole mit miteinbinden (substr, strstr, etc)
• Bold und Italic Mehrzeilig
• Tabellen auch ohne Abschluss
• Definitionslisten auch mit >
• Preformat für < >
• Images mit Style-Angabe
• Headlines mit Class-Angabe
• Div mit ID oder Classangabe (//über <<<x>>> //)
• Links mit "~"-Angabe keine Klammern beachten und selectiv Sonderzeichen konvertieren
• Abstände der Überschriften -h1 --h2 ---h3 überprüfen
• Problem mit WikiLinks / e@mail.xx / www.xx beheben
• iFrames als Creole-Addon
• Creole-Syntax für   finden (Evt. Star___Wars oder Star Wars)
• Placeholder für Farben implementieren
• Versuchen bei Creole-Addons die Parameter Optional zu machen (foo=bar)
• Evt. verschiedene Quotes-Test für preg_replace/eval, um die unterschiedlichen Eigenschaften anzuzeigen
• Smilies in Überschriften erlauben bzw. zumindest HTML-Code verbergen
• Author als Creole-Variable anbieten
• Variablen für Dateien mit PlaceHolder setzen
• Links mit [[^CMS]] sollten immer auf CMS-Seiten zeigen
• Links sollten auch mit Escape entwertet werden können
• Versuchen die Smilies entwerten zu können
• Fehlerhafte Tabellen werden nun verkürzt angezeigt
• Definitionen-Listen >> gehen nur bis zur 2.Ebene
• Anker-Links mit einer eindeutigen Farbe versehen
• Anker-Links, die mit Zahlen beginnen, werden nun entsprechend angepasst
• Verkürzungen zum Pfad ::p und ::P sowie zum Basename ::b sind nun möglich
• BBCode ist nicht rekursiv [b][i]foobar[/i][/b]
• Charzeichen können mit \xa7 (00-ff) erzeugt werden - (Im Sicherheitsmodus nur von 80-ff)

Komfort-Funktionen

• Mitgliederliste nach Spalten sortieren
• Login/Request-Zähler für jeden User
• Auch mit Admin-Rechten sind gelöschte Benutzer "unsichtbar"
• Öffentliches Profil mit zusätzlichen Informationen
• Datei-Recht Privat für Suchfunktion
• Charset auch für Admins vereinfachen
• Creole-Smilies in der Tabelle zum Anklicken
• Irgendwie anzeigen, ob ein Beitrag nicht für Gäste ist
• Ist die Netto-Breite weniger als 1024 Pixel dann keine Creole-Tabelle anzeigen
• Atomfeeds geben mit URL-Option "latest" nur die Eintrage nach dem letzten Login aus
• Atomfeeds im Latest-Modus ein Gelesen-Status anbieten
• Atomfeeds mit geschützten Benutzer-Bildern ausgeben
• Besser Administrative Bearbeitung von Fremden Datei-Uploads
• Kennwort-Vergessen löscht das Kennwort nicht, sondern setzt ein neues
• Kennwort-Vergessen mit Ajax
• Im Suchfeld Quelle Separieren (Zusammenlegen mit Blog & Mail)
• Suchformular mit JavaScript logischer machen
• Suchbeispiele-Link für noscript verbergen
• Satzsuche mit "Anführungszeichen" ermöglichen
• Überlange Threads sollten mit Seite 1 beginnen
• Ausgeblendete Objekte mit Cookies merken
• Bei einen Benutzer, Benutzerauswahl in der Suche verstecken
• Nach dem Einloggen soll man nur ins Forum geschickt werden, wenn es auch Einträge gibt
• Login-Fenster optional versteckt anzeichen
• Die Blog-Seiten sollten auch bequem ohne Rechte einsehbar sein
• Bei Angemeldeten User sollten neue Blogs nicht versehendlich im Forum gespeichert werden
• Der Link für die Suche sollte Blogs und Mails unterstützen
• CMS-Seiten sollten optional von der Öffentlichen Suche ausgeschlossen werden
• Atom-Feed sollte ebenfalls CMS Indizieren (Wenigstens wenn es keine Foreneinträge gibt)
• Jeder User-Blog sollten einen eigenen RSS-Feed haben und im Forum-Feed sollten keine Blog-Einträge sein
• Link zur Such-Funktion sollte auch den aktuellen Benutzer mit einbeziehen (Blog/<user>)
• Datei-Uploads sollten auch vom Benutzer überschrieben/Ersetzt werden können
• Für den Admin Ausrechnen, wieviel er insgesamt hochgeladen hat
• Unterstzung für Universaleditbutton.org
• Chat nun auch für JavaScript-Fähige Browser ohne JavaScript mit angabe ?nojs möglich
• Geloggte SQL-Befehle konnen mit Admin-Rechten direkt per klick in SQL-Konsole übertragen werden

Neue Funktionen

• Content-Management-System
• Dateien als Attachment hoch laden
  • Möglicher Angriff auf Dateien
  • Rechte für Dateien verbessern
  • User-Beschränkungen für Datei-Uploads
  • Löschen von Dateien löscht auch Memos
  • Standard Datei-Upload mit Datei-Typensperre (Außer für Admins)
  • Datei-Download per ID nur für Uploader und Admins
  • Admins sollten nicht alle Datei-Uploads von Usern sehen können
  • Für Admins Content-Type von Datei-Uploads anpassen
  • Hochgeladene Dateien Komprimieren
  • Rechte beim Datei-Download überarbeiten (401 Fehler ausgeben)
• Suche für CMS und Dateien mit Paging
  • Benutzer-Dateien nicht suchen
  • Immer in Namen und Beschreibung suchen (Bei Texten auch im Inhalt)
  • Zusammenfassung der Ergebnisse mit dem Forum zusammenführen
  • Verbesserte Anzeige bei Bildern und Texten
  • Mehr Meta-Informationen ausgeben
  • Gelöschte Dateien suchen
  • JavaScript-Code für Text-Ausgabe verbessern
  • Öffentliche Dateien nach Benutzern suchen
• Benutzersuche bei Leeren Forum/CMS/Dateien nicht anbieten
• Clean-Urls für das Benutzerprofil
• Suchfunktion und/oder unterstützen
• Password vergessen mit Sicherheitsabfrage von selbst gestellten Fragen/Antworten
• Ohne das Datenbank-Modell zu verändern, eigene Fragen zulassen
• JavaScript-Login
• Forenbeiträge für Gäste ausließen
• Blog für Benutzer einrichten (Wie Memos - nur öffendlich)
• Datenbank läuft nun auch mit SQLite3 (Nur mit Zusatzscript)
• Keine Suche für das Forum, wenn keine Einträge gefunden werden können (CMS-Mode)
• Grafiken und Smilies sind optional
• KurzUrls mit CMS verlinken zu können
• CMS-Seiten können für Suchmaschinen in einer sitemap.xml aufgelistet werden
• Kennwörter werden im Sicherheitsmodus mit dem Hacker-Wörterbuch abgeglichen
• LiveChat-System per ~JavaScript
• Videos können per HTML5 direkt abgespielt werden
• Uploads von MP3, MP4 und OGG nun möglich
• In der Suche werden nun Audio & Video-Dateien erkannt und können direkt abgespielt werden
• In der Forum-Tabelle change und changes hinzufügen
• Möglichkeit bieten Cookies dauerhaft zu speichern
• Robots optional aus dem Forum aussperren
• Für den Admin Statisiken ausgeben
• Pageing für CMS, Datei, Mitgliederliste
• Suchergebnisse mit JavaScript hervorheben
• POST-Requests werden ohne Session-Cookies abgelehnt
• Die Variable $register gibt eine CMS-Seite an, die beim Anmelden angezeigt wird
• Die Variable $config gibt an, welche php-Datei $cfg Variabeln enthält

Optimierungen

• Profil-Inhalt aus der Mutgliederliste heraus nehmen (Speicher und Performance)
• Forumlar-Titel mit preg_replace automatisieren
• Grafiken und Uploads können gecacht werden
• Cache für Dateien
• Interne Request-Links sollten optional eine Extension haben: worm -> worm.js
• Ein kurzes Video finden, was in der CreoleDemo-Seite platziert werden kann

Unschön

• Abbruch von CMS sollte zur CMS-Seite führen!
• Abrechen im CMS zeigt noch verworfenen Text an
• CMS erscheint bei einloggen
• Die Umlaute im Benutzer-Profil verbessern (Die PHP-Attacken sollen sich darum kümmern)
• Den Verfasser von Blogs im Gast-Modus zeigen
• Anmeldung sollte nur leeren Request auf die Profilseite führen
• Chat funktioniert nicht mit den IE6
• Bei einigen älteren Browsern wurden Chats getrennt, wenn man eine Nachricht per Enter absetzen wollte

Probleme

• Prüfen ob &gt; oder &auml; im Forum zulässig sein soll

Bugs

• Quotes bei Memo-Bearbeiten korrekt entwerten
• Wurm hat Probleme mit Referer und Clean-Urls
• Vorschau beim Verfassen von Nachrichten kommen () im Titel vor
• Creole-Tabelle für Benutzer-Profil anzeigen
• Blogs für Benutzer werden für Gaste in der Übersicht angezeigt
• Gleichzeitige Requests unter SQLite3
• Problem mit dem speichern der Startseite
• Tabelle hat teilweise Probleme mit |+> (RTFM )
• Escape-Probleme mit & bei aktivierten Sicherheitsmodus
• Immer noch Quot-Probleme beim Speichern bzw. Bearbeiten mit (')
• Hide-Elemente können nicht in Auszählungen verschachtelt werden
• Probleme beim Administrativen Abmelden von Usern
• Hide-Placeholder verbessern
• Bei Anker-Links [[%self%/index.php5)#foobar]] machen Klammern Probleme
• Escape/Verlinkungs-Probleme mit WikiLinks
• Beim löschen von CMS-Seiten bleibt für den nächsten Request die Creole-Legende bestehen
• Suche nur nach "*" führte zum Absturz des Browsers

Addon

• Datenbank Optional über Addon nach einer gewissen Zeit zurücksetzen
• Das Loggen von SQL-Befehlen sollte beim SQL-Plugin abschaltbar sein
• Logmöglichkeit für SQL-Befehle (23er Addon)
  • Die SQL-Befehle werden in einer separaten Variable geloggt

• CMS-Suche als Liste ausgeben
• Seiten wie Anmelden oder Kennwort vergessen, könnten Optionale Inhalte haben
• Bei Links auf nicht existierende CMS-Seiten ein NEW anbieten
• Versuchen den Bot automatisch periodisch aufzurufen
• Versuchen das Opfer über ein Frame Surfen zu lassen, um die URLs mitlesen zu können.
• Versuchen den Router in irgendeiner Form anzugreifen
• Mit Such-Funktion in Benutzer-Profilen suchen
• Mit der Creole ein Array von Variabeln definieren, die per Url aktiviert werden können.
• Mit der Variable $cfg Presets definieren, die per URL/Cookie/Session umgeschaltet werden können
• Im Lokalen Netzwerk (Client-Verbindung zum Server) sollte die eMail-Prüfung abgeschaltet werden
• Das 23er-Addon sollte auch die Zeiten der SQL-Abfragen mitloggen
• Images in der Creole sollten einen Home-Path haben (Ähnlich wie Links mit ^)

Weitere Ideen: (Für Irgendwann einmal... - Also Nie )

• Nach gelöschten Mails von allen Benutzer suchen
• Toolbar mit JavaScript
• Baumstruktur mit Nested Sets anzeigen
• Dateien ohne Base64 in der Datenbank speichern
• Das Forum nicht mehr in UTF-8 kodieren, sondern in iso-8859-1
• Auf Blogs Antworten können, die Technisch als Mails abgelegt werden, aber dennoch öffentlich sind
• Cookies im Benutzer-Profil speichern
  • Cookies dauerhaft speichern anbieten
• Das zusammenlegen von Benutzerrechten und Lesebestätigung
  • Möglicherweise die Benutzerreche für Verschlüsselte Mails zu benutzen
• Eine Optionale SQL-Tabelle für PHP-Variabeln anlegen
  • Key,Value,serialze
• eMails bei Registrierung / Kennwort-Vergessen verschicken
  • Entsprechender Angriff um Spam zu verschicken
• Funktions-Trigger einbauen, um besondere Ereignisse zu Prokollieren (Neuer User, SQL-Queries, etc)
• Mails verschlüsseln
• Das 23er-Addon könnte eine Private-Datenbank-Session erstellen, bei dem man die Clients einladen kann (Private Sandbox)

• Die Formular-Buttons evt. auch oben anzeigen

Zu Erledigen

Probleme

• Nach Möglichkeiten suchen, die Fehler bei $leak=1 und ${$foo} zu unterbinden

Nicht unbedingt im Forum

• Prüfen ob ein und wie Cookie-Wurm möglich ist

Erledigt