Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Hacker setzt…

verriet nicht, um welches Zeichen es sich handelt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. verriet nicht, um welches Zeichen es sich handelt

    Autor: MüllerWilly 06.07.16 - 19:58

    Zitat: verriet nicht, um welches Zeichen es sich handelt

    Soll das ein Scherz sein, Golem? Ihr seid ein Technik-Blog. Wie XSS funktioniert, solltet ihr wissen.

    Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse" Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man das raus, hat man gleich mal viel, viel weniger Probleme.

    Aber Achtung: Das ist KEINE Lösung. Lösungen sind so etwas wie HTML_SPECIAL_CHARS oder mysql_real_escape_string für MySQL.

    Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat man alles im Quelltext an einer Stelle und kann es schnell prüfen. Ob jetzt in PHP oder einer anderer Programmiersprache sollte auch egal sein, das Prinzip zählt. Möchte man eine Zahl erhalten, kann man sie auch gleich auf Zahleninhalt Prüfen.

  2. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 00:58

    Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich vielleicht ganz andere Schnitzer.

  3. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Graveangel 07.07.16 - 08:33

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet
    > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich
    > vielleicht ganz andere Schnitzer.


    Eines von denen, die immer neue kritische Lücken aufweisen und hier in den Meldungen stehen, oder was anderes, was ich nicht kenne?

    Glaube so 100% sicher ist schwierig.
    Selbst mit einer Fehlerquote die gegen 0 geht, gibt es immer irgendwann trotzdem Fehler.
    So lange der Code von Menschen geschrieben wird, gibt es keine 100%ige Sicherheit.

  4. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 08:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder man setzt einfach gleich ein etabliertes Framework ein, das
    > getestet
    > > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch
    > gleich
    > > vielleicht ganz andere Schnitzer.
    >
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?


    Wann hatte das letzte Mal eins der Core Symfony Components Sicherheitsprobleme? Ich rede ja nicht von WP.

  5. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: M. 07.07.16 - 08:48

    > Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse"
    > Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man
    > das raus, hat man gleich mal viel, viel weniger Probleme.
    Reicht aber nicht, hängt vom Kontext ab. Mal ein Beispiel:
    <a href="http://example.com/{$_GET['M']}">...
    Injection
    " onmouseover="alert('XSS')" style="display:block;position:fixed;top:0;left:0;right:0;bottom:0;
    JS wird ausgeführt, wenn der User den Cursor in den Viewport bewegt.

    > Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle
    > Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft
    > man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat
    > man alles im Quelltext an einer Stelle und kann es schnell prüfen.
    Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich noch wer?)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  6. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Narancs 07.07.16 - 08:50

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?

    Bei solchen fundamentalen Dingen sind solche Frameworks immer noch besser als gefühlte 90% von Code, den Entwickler sonst so schreiben. Ich habe den Idealismus schon aufgegeben, dass alle lernen es selber und richtig zu machen (abgesehen davon, dass es einfach unwirtschaftlich ist das Rad neu zu erfinden). Das wird nie passieren. Dafür habe ich schon zu viel Mist gesehen. Egal in welchen elitären Kreisen ihr euch bewegt, solche Typen und Codes gibt es leider trotzdem.

  7. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: registrierter_schreiber 07.07.16 - 10:33

    Richtig. Daher besser:
    a) Eigenen Code schreiben. Die Entwickler populärer Frameworks sind schießlich allesamt überbezahlte Amateure.
    b) Code einsetzen, der nicht von Menschen geschrieben wurde.

  8. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: alcon 07.07.16 - 14:20

    M. schrieb:
    > Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt
    > davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig
    > machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich
    > noch wer?)

    Du hast vollkommen Recht.

    Allerdings wollen die Leute immer noch mit ihren Frameworks alles magic machen und laufen damit wieder in dieselbe Falle.

    Wenn ich mit statischem HTML (ExtJs) und AJAX arbeite, wie soll dann bitteschoen ein Framework erkennen, in welchem Kontext ich die Daten einsetze?

    magic_quotes_gpc war ja auch direkt ins Framework integriert und wurde dann einfach eingeschaltet.
    Weil die ganzen Slashes in den Textfeldern ja nicht sonderlich gut aussahen wurde dann immer mal gerne foreach stripslashes gemacht... *facepalm*
    Man haette es besser gleich richtig gemacht, anstatt mit einem "golden Hammer" zu arbeiten.



    2 mal bearbeitet, zuletzt am 07.07.16 14:28 durch alcon.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Hochschule Ostwestfalen-Lippe, Lemgo
  2. Harvey Nash GmbH, Frankfurt am Main oder Berlin
  3. Paco, Eschweiler
  4. Robert Bosch GmbH, Stuttgart-Feuerbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 294,78€ (zur Zeit günstigste RX 580 mit 8 GB)
  2. 20,99€ + 5€ Versand (für Prime-Mitglieder)
  3. 8,58€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  2. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

  1. Android O: Google veröffentlicht letzte Testversion vor Release
    Android O
    Google veröffentlicht letzte Testversion vor Release

    Die vierte Entwicklerversion des kommenden Android O wird die letzte vor dem Release noch in diesem Sommer sein. Mit der finalen Version können Entwickler ihre Apps abschließend auf die neue Android-Version vorbereiten, als Release Candidate ist sie weitgehend final.

  2. Fruit Fly 2: Mysteriöse Mac-Malware seit Jahren aktiv
    Fruit Fly 2
    Mysteriöse Mac-Malware seit Jahren aktiv

    Auch Mac-Nutzer sind nicht vor Schadsoftware sicher: Eine Malware soll seit mehr als fünf Jahren aktiv sein, aber nur einige hundert Nutzer befallen haben. Die Software ermöglicht einen weitgehenden Zugriff auf den Rechner und private Informationen.

  3. Poets One im Test: Kleiner Preamp, großer Sound
    Poets One im Test
    Kleiner Preamp, großer Sound

    Der Gitarrenvorverstärker Poets One ist klein, bietet aber einen starken Klang: Im Test des Prototyps überzeugen besonders die klassischen Zerr-Sounds. Noch fehlt dem Familienprojekt aus Deutschland aber die ausreichende Anzahl an Crowdfunding-Unterstützern.


  1. 10:33

  2. 10:28

  3. 09:15

  4. 08:47

  5. 08:05

  6. 07:29

  7. 23:54

  8. 22:48