From 6da7d3228f9be029068dccd94c7a10cbeb588995 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Andreas=20=C3=96sterreicher?= <oesi@technikum-wien.at>
Date: Tue, 11 Dec 2012 12:25:40 +0000
Subject: [PATCH] =?UTF-8?q?Bugfix=20-=20URL=20Check=20unterst=C3=BCtzt=20n?=
 =?UTF-8?q?un=20http=20und=20https?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 cis/index.php | 5 ++++-
 1 file changed, 4 insertions(+), 1 deletion(-)

diff --git a/cis/index.php b/cis/index.php
index 45510b533..ee2a23ea5 100644
--- a/cis/index.php
+++ b/cis/index.php
@@ -36,7 +36,10 @@ function validURLCheck($param)
 	if(strstr($param,'://'))
 	{
 		// Der APP_ROOT muss in der URL vorkommen, sonfern es kein relativer Pfad ist
-		if(mb_strpos($param, APP_ROOT)!==0)
+		// HTTPS und HTTP
+		if(mb_strpos($param, APP_ROOT)!==0
+			&& mb_strpos(mb_str_replace("http://","https://", $param), APP_ROOT)!==0
+			&& mb_strpos(mb_str_replace("https://","http://", $param), APP_ROOT)!==0)
 		{
 			$text="Dies ist eine automatische Mail.\nEs wurde eine mögliche XSS Attacke durchgefuehrt:\n";
 			$text.="\nFolgende URL wurde versucht aufzurufen: \n".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'];