Mailinglisten-Archive |
Hi Norbert, Am Montag, 21. November 2005 14:44 schrieb Norbert Pfeiffer: > Hi Sebastian, > > > > > Such mal nach XSS bzw. Cross-Site-Scripting > > > > > > warum ich ... ;-) > > > > weil du nicht glaubst das XSS ein Problem ist [...] > > ... vor allem weil es dafür schon hunderte Beispiele und > > Beschreibungen im Web gibt. > > hmm, > Die Beschreibungen sind eher schriftstellerische Freiheit ... > Und Beispiele, die funktionieren habe ich auch nicht gefunden. > Wenn sowas klappt, dann IMHO auf schlecht konfigurierten Servern. das hat aus meiner Sicht eigentlich nichts direkt mit der Serverkonfiguration zu tun - außer man setzt eine Application-Firewall ein -, sondern mit der Anwendung bzw. den Anwendungen. XSS kann nur funktionieren, wenn es gelingt, in eine Anwendung bösartigen Code einzuschleusen. Wer die Benutzereingaben sorgfältig prüft und auch sonst keine Löcher in seine Anwendung reißt, wie z.B. durch die Verwendung von PHP_SELF (wie Peter vor einigen Wochen aufgezeigt hat), ist auf der sicheren Seite. Ich weiß nicht, warum Du mit den XSS-Beispielen nicht glücklich wirst, aber ich versuche es trotzdem noch mal mit einem Beispiel zum Plätzchen-Klau: http://www.cgisecurity.com/articles/xss-faq.shtml#theft Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive