Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internetsicherheit: Paypal musste von…

PHP-Script? Am Client?

  1. Thema

Neues Thema Ansicht wechseln


  1. PHP-Script? Am Client?

    Autor: YoungManKlaus 19.09.13 - 13:09

    "Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script eingebaut, um Dateien vom Server nachzuladen und auf der Website einzubinden. Eigentlich brauchen solche PHP-Scripts..."
    Dieser Ausschnitt bedeutet, dass ein PHP-Script am Client läuft was sicher nicht der Fall ist. Ich rate mal eher Javascript das halt auf ein in PHP implementierte API-Zugreift (sonst kann ich mir die PHP-Referenz nicht erklären)?

  2. Re: PHP-Script? Am Client?

    Autor: tibrob 19.09.13 - 13:20

    Die Frage ist: wer hat's geschrieben. Golem oder die Entdecker?

  3. Re: PHP-Script? Am Client?

    Autor: Endwickler 19.09.13 - 13:40

    YoungManKlaus schrieb:
    --------------------------------------------------------------------------------
    > "Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script
    > eingebaut, um Dateien vom Server nachzuladen und auf der Website
    > einzubinden. Eigentlich brauchen solche PHP-Scripts..."
    > Dieser Ausschnitt bedeutet, dass ein PHP-Script am Client läuft was sicher
    > nicht der Fall ist. Ich rate mal eher Javascript das halt auf ein in PHP
    > implementierte API-Zugreift (sonst kann ich mir die PHP-Referenz nicht
    > erklären)?

    Ja, die Formulierung kam mir ebenfalls merkwürdig vor, aber was solls. :-)

  4. Re: PHP-Script? Am Client?

    Autor: YoungManKlaus 19.09.13 - 14:00

    Wenn man den Originalartikel liest ... Golem

    Anyhow, worums wirklich geht: paypal bindet ein script nicht wie normale leute über ne einfache url ein, sondern verwendet einen api-call dazu

    <script src="https://www.paypal.com/de/cgi-bin/webscr?cmd=_getnbinternal&path=netbiscuitsIPhone-1.0.107.js" type="text/javascript"></script>

    Und dieser call ist anfällig auf path-traversal-attacken, sprich mit ein paar kreativ platzierten "../" kommt man überall hin.

    Übrigens ne sehr lustige API wo man die methode als cmd-paramter mitgibt, das zeugt von qualität ô_0

  5. Re: PHP-Script? Am Client?

    Autor: h1j4ck3r 19.09.13 - 14:20

    YoungManKlaus schrieb:
    --------------------------------------------------------------------------------
    > "Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script
    > eingebaut, um Dateien vom Server nachzuladen und auf der Website
    > einzubinden. Eigentlich brauchen solche PHP-Scripts..."
    > Dieser Ausschnitt bedeutet, dass ein PHP-Script am Client läuft was sicher
    > nicht der Fall ist. Ich rate mal eher Javascript das halt auf ein in PHP
    > implementierte API-Zugreift (sonst kann ich mir die PHP-Referenz nicht
    > erklären)?

    Hat mich auch erst verdutzt, aber beim 2. lesen wurde mir Klar dass der Quellcode der website gemeint war also das ausgelieferte html-"dokument".
    anscheinend meinte der autor dass im htmlcode irgendwo ein Link/Verweis auf ein PHP-Skript, dass anscheinend bzgl. der pfade beliegige GET-Parameter zulässt, ist.

    wie auch schon hier
    ><script src="https://www.paypal.com/de/cgi-bin/webscr?cmd=_getnbinternal&path=netbiscuitsIPhone-1.0.107.js" type="text/javascript"></script>

    beschrieben.
    Das ding ist dass die mehrere API zugriffe zulassen auch einen per SOAP
    https://www.paypalobjects.com/de_DE/html/IntegrationCenter/ic_api-reference.html
    sie müssen aber auch eine html-schnittstelle für sonderfälle einbinden.
    bspw. der client soll auf paypal können, aber nichts soll aus dem intranet raus, was bei soap der fall wäre da du einen service laufen haben musst, der direkt mit dem paypalservice über soap kommuniziert.

    Edit:
    das legitimiert allerdings nicht, dass die Skripte anscheinend crappy sind.



    3 mal bearbeitet, zuletzt am 19.09.13 14:27 durch h1j4ck3r.

  6. Re: PHP-Script? Am Client?

    Autor: YoungManKlaus 19.09.13 - 20:44

    > das legitimiert allerdings nicht, dass die Skripte anscheinend crappy sind.
    obviously

    mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server-side-script einbindet und nicht als ressource ... oder dass man dieser super-tollen api die aktion als url-parameter übergibt anstatt schön rest-like als pfad ... aber gut...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. novacare GmbH, Bad Dürkheim
  2. Automotive Safety Technologies GmbH, Gaimersheim
  3. KfW Bankengruppe, Berlin
  4. Bayerische Versorgungskammer, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  2. 349,99€
  3. 229,99€
  4. 43,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27