Mailinglisten-Archive |
Hi Lutz, vielen Dank fuer den Link, den hatte ich noch nicht. Werde es mal austesten ... > das hat aus meiner Sicht eigentlich nichts direkt mit der > Serverkonfiguration zu tun hmm, genau das Beispiel von Peter hat mich aber darauf gebracht, dass man auch am Server etwas tun kann/muss - weil: - Hier auf meinem Apache klappten die Versuche grundsaetzlich nicht jedoch auf einer PureTec-Domain schon eher. - Hauptgrund scheint diese rewrite-Mode zu sein, denn bei mir wird alles nach dem '?' abgeschnitten und damit ist schon weitgehend Schluss mit XSS Um an einen Keks zu gelangen muss man JS in eine Seite des Servers einfuegen, der DAU muss draufklicken UND auch noch die generierte Mail absenden, das kann/darf JS naemlich auch nicht. Der Hinweis auf den HTTP-Request ist ebenfals eine Sackgasse, da hier der Code in einem Object stecken muss, welches so einen Request ueberhaupt ausfuehren darf/kann. Summasumarum ist es mir bislang nicht gelungen mit einem Script von Domain A einen Keks von Domain B zu lesen. Wobei hier erleichternd hinzukommt, dass sich alle Domains eine IP-Nummer teilen. Viel wichtiger waere es IMHO solche Luecken wie PHP_SELF von Seiten der Entwickler dicht zu machen. Eine RegExe und das Thema ist entgueltig vom Tisch ... m. b. G. Norbert _____________________ normal: 02682-966898 Notruf: 0163-3613642 --------------------- e.o.m.
php::bar PHP Wiki - Listenarchive