WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik



Im Homepage und Webhosting-Forum --- Cross-Scripting

Rund um die Administration von Server und Webserver, Apache, Linux, Mailserver, FTP, SSH, MySql, Windows Server, u.v.m.

Forum » Server-Administration und Verwaltung » Cross-Scripting - 20 April 2024 Antworten
im Forum für Webhosting Homepage gefunden:
Cross-Scripting
KeyLF
Forenheld
Threadstarter




Beiträge: 866

Also wem sagt das was bzw... wer hatte das Problem schon einmal und konnte seine Seiten absichern... wäre für jeden Tip dankbar...

Es gebt speziell um Suchabfragen auf Seiten, hab das Problem erstmal mit StripTags gelöst aber ich denke mal das ist nicht unbedingt ne saubere Lösung...

also wenn jemand helfen kann... wäre ich sehr dankbar.

MFG

KeyLF


  Profil   Editieren   Zitieren
alexhaid
Fachidiot




Beiträge: 132

Was ist es denn?
Vielleicht kann man dann besser helfen.
lg, alex

  Profil   E-Mail   Editieren   Zitieren
KeyLF
Forenheld
Threadstarter




Beiträge: 866

Das heisst, du kannst Fremde Scripte auf deinem Server ausführen... z.B. wenn du in einer Suche (auch hier bei Webwork) in einer gewissen Syntax eine Url mit einem Script (z.B. JS-Datei) übergibst wird dieses dann "auf der Seite" ausgeführt.

Z.b. zum Auslesen von Userdaten etc. oder ich mach ein Fake Gewinnspiel schreib das in einen Newsletter und geb das Script mit... somit läuft alles anscheinend auf der "Vertrauenswürden Seite" aber die Daten werden ganz woanders hin übermittelt.

  Profil   Editieren   Zitieren
Can
Halbgott




Beiträge: 1324

Hm, das sagt mir eigentlich nur was im Zusammenhang mit MySQL, wenn magic_quotes nicht aktiviert ist. Meinst du das?

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

  Profil   E-Mail   Editieren   Zitieren
KeyLF
Forenheld
Threadstarter




Beiträge: 866

Was wären die Auswirkungen wenn das aktiviert ist bzw. nicht?!

Such mal hier im Forum über die Suche, genau folgendes:

1:
 


  Profil   Editieren   Zitieren
Can
Halbgott




Beiträge: 1324

Na ja, unter bestimmten Vorraussetzungen wäre es möglich, SQL-Code auszuführen, wenn in nem Script einfach steht mysql_query("SELECT * FROM `bla` WHERE id=\"$id\"").

In deinem Fall muss man halt einfach < und > bei der Ausgabe durch die entsprechenden HTML-Entities ersetzen!?

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

  Profil   E-Mail   Editieren   Zitieren
KeyLF
Forenheld
Threadstarter




Beiträge: 866

richtig... aber ist ja auch nicht unbedingt die feinste lösung... mach das im moment so

1:
$search = strip_tags($search);


aber ich denk mal das muss doch auch auf dem Server einstellbar sein oder?!

  Profil   Editieren   Zitieren
languitar
Foren-Team




Beiträge: 2795

Nein, das muss nicht serverseitig einstellbar sein. Man muss schon selber ein bisschen aufpassen, dass man seine Scripte sicher gestalltet.

  Profil   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

GET-Zahlen einfach abfangen und mit intval checken... für html & js gelten, korrekt, richtlinien wie strip_tags.

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
 

Antworten
Forum » Server-Administration und Verwaltung » Cross-Scripting

Aktuelle Beiträge zur Hilfe im Forum für Homepage - Cross-Scripting im Forum Homepage Hosting AntwortenLetztes Posting
Wie stellt man von http auf https um?
in "Server-Administration und Verwaltung"
1 18.07.2021 02:49 von Rieke
Mailserver einrichten
in "Server-Administration und Verwaltung"
0 09.05.2021 01:11 von FastSpeeddev
Generalüberholung der Unternehmensserver
in "Server-Administration und Verwaltung"
9 22.03.2021 13:08 von Julien
Ich kann eine bestimmte Website nicht via WLAN aufrufen
in "Server-Administration und Verwaltung"
2 14.02.2021 22:52 von websiteworker
DDNS und LetsEncrypt geht nicht
in "Server-Administration und Verwaltung"
3 27.12.2020 12:38 von anitaskita
Wie bewertet ihr Cassandra als DBMS?
in "Server-Administration und Verwaltung"
1 06.10.2020 14:38 von Petzibär
Office365
in "Server-Administration und Verwaltung"
2 22.04.2020 13:07 von minad
Bilder nur auf bestimmte Domain zulassen
in "Server-Administration und Verwaltung"
2 30.10.2019 09:55 von micha67
Marketing Software
in "Server-Administration und Verwaltung"
4 02.03.2019 15:44 von Peter1165
Mainboard für AMD Server?
in "Server-Administration und Verwaltung"
2 16.11.2018 21:11 von andyy
Typo3 4.6 mit Imagemagick oder Graphicsmagick
in "Server-Administration und Verwaltung"
3 16.11.2018 21:10 von andyy
Nextcloud konfigurieren ohne Systemzugriff
in "Server-Administration und Verwaltung"
0 05.09.2018 09:13 von Flash
mod_rewrite - example.com/verz1/verz2 geht nicht
in "Server-Administration und Verwaltung"
1 16.08.2018 09:17 von Maik89



Besucher : 7981845    Heute : 249     Gestern : 292     Online : 33     20.4.2024    22:47      1 Besucher in den letzten 60 Sekunden        
alle 60.00 Sekunden ein neuer Besucher
Nach oben