1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Hacker setzt…

verriet nicht, um welches Zeichen es sich handelt

  1. Thema

Neues Thema Ansicht wechseln


  1. verriet nicht, um welches Zeichen es sich handelt

    Autor: MüllerWilly 06.07.16 - 19:58

    Zitat: verriet nicht, um welches Zeichen es sich handelt

    Soll das ein Scherz sein, Golem? Ihr seid ein Technik-Blog. Wie XSS funktioniert, solltet ihr wissen.

    Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse" Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man das raus, hat man gleich mal viel, viel weniger Probleme.

    Aber Achtung: Das ist KEINE Lösung. Lösungen sind so etwas wie HTML_SPECIAL_CHARS oder mysql_real_escape_string für MySQL.

    Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat man alles im Quelltext an einer Stelle und kann es schnell prüfen. Ob jetzt in PHP oder einer anderer Programmiersprache sollte auch egal sein, das Prinzip zählt. Möchte man eine Zahl erhalten, kann man sie auch gleich auf Zahleninhalt Prüfen.

  2. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 00:58

    Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich vielleicht ganz andere Schnitzer.

  3. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Graveangel 07.07.16 - 08:33

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet
    > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich
    > vielleicht ganz andere Schnitzer.


    Eines von denen, die immer neue kritische Lücken aufweisen und hier in den Meldungen stehen, oder was anderes, was ich nicht kenne?

    Glaube so 100% sicher ist schwierig.
    Selbst mit einer Fehlerquote die gegen 0 geht, gibt es immer irgendwann trotzdem Fehler.
    So lange der Code von Menschen geschrieben wird, gibt es keine 100%ige Sicherheit.

  4. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 08:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder man setzt einfach gleich ein etabliertes Framework ein, das
    > getestet
    > > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch
    > gleich
    > > vielleicht ganz andere Schnitzer.
    >
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?


    Wann hatte das letzte Mal eins der Core Symfony Components Sicherheitsprobleme? Ich rede ja nicht von WP.

  5. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: M. 07.07.16 - 08:48

    > Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse"
    > Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man
    > das raus, hat man gleich mal viel, viel weniger Probleme.
    Reicht aber nicht, hängt vom Kontext ab. Mal ein Beispiel:
    <a href="http://example.com/{$_GET['M']}">...
    Injection
    " onmouseover="alert('XSS')" style="display:block;position:fixed;top:0;left:0;right:0;bottom:0;
    JS wird ausgeführt, wenn der User den Cursor in den Viewport bewegt.

    > Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle
    > Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft
    > man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat
    > man alles im Quelltext an einer Stelle und kann es schnell prüfen.
    Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich noch wer?)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  6. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Narancs 07.07.16 - 08:50

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?

    Bei solchen fundamentalen Dingen sind solche Frameworks immer noch besser als gefühlte 90% von Code, den Entwickler sonst so schreiben. Ich habe den Idealismus schon aufgegeben, dass alle lernen es selber und richtig zu machen (abgesehen davon, dass es einfach unwirtschaftlich ist das Rad neu zu erfinden). Das wird nie passieren. Dafür habe ich schon zu viel Mist gesehen. Egal in welchen elitären Kreisen ihr euch bewegt, solche Typen und Codes gibt es leider trotzdem.

  7. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: registrierter_schreiber 07.07.16 - 10:33

    Richtig. Daher besser:
    a) Eigenen Code schreiben. Die Entwickler populärer Frameworks sind schießlich allesamt überbezahlte Amateure.
    b) Code einsetzen, der nicht von Menschen geschrieben wurde.

  8. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: alcon 07.07.16 - 14:20

    M. schrieb:
    > Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt
    > davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig
    > machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich
    > noch wer?)

    Du hast vollkommen Recht.

    Allerdings wollen die Leute immer noch mit ihren Frameworks alles magic machen und laufen damit wieder in dieselbe Falle.

    Wenn ich mit statischem HTML (ExtJs) und AJAX arbeite, wie soll dann bitteschoen ein Framework erkennen, in welchem Kontext ich die Daten einsetze?

    magic_quotes_gpc war ja auch direkt ins Framework integriert und wurde dann einfach eingeschaltet.
    Weil die ganzen Slashes in den Textfeldern ja nicht sonderlich gut aussahen wurde dann immer mal gerne foreach stripslashes gemacht... *facepalm*
    Man haette es besser gleich richtig gemacht, anstatt mit einem "golden Hammer" zu arbeiten.



    2 mal bearbeitet, zuletzt am 07.07.16 14:28 durch alcon.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Leiter Anwendungsentwicklung (m/w/d)*
    über Dr. Richter Heidelberger GmbH & Co. KG, Rhein-Neckar-Kreis
  2. IT - Systemadministrator (m/w/d)
    Winterhalder Selbstklebetechnik GmbH, Heitersheim
  3. Senior Digital Business Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Mitarbeiter (m/w/d) Prozessmanagement IT
    Kindertagesstätten Nordwest Eigenbetrieb von Berlin, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Fallout 76 für 12,50€, Wolfenstein II: The New Colossus für 11€, Dishonored: Death of...
  2. Über 3400 Angebote mit bis zu 90 Prozent Rabatt
  3. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum

    Neues Apple TV 4K im Test: Teures Streaming-Gerät mit guter Fernbedienung
    Neues Apple TV 4K im Test
    Teures Streaming-Gerät mit guter Fernbedienung

    Beim neuen Apple TV 4K hat sich Apple eine ungewöhnliche Steuerung einfallen lassen, die aber im Alltag eher eine Spielerei ist.
    Ein Test von Ingo Pakalski

    1. Shareplay TVOS 15 soll gemeinsame Streaming-Erlebnisse schaffen
    2. Apple TV Farbkalibrierung per iPhone schneidet schlecht ab
    3. Sofasuche beendet Airtag-Hülle für Apple-TV-Fernbedienung