Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Hacker setzt…

verriet nicht, um welches Zeichen es sich handelt

  1. Thema

Neues Thema Ansicht wechseln


  1. verriet nicht, um welches Zeichen es sich handelt

    Autor: MüllerWilly 06.07.16 - 19:58

    Zitat: verriet nicht, um welches Zeichen es sich handelt

    Soll das ein Scherz sein, Golem? Ihr seid ein Technik-Blog. Wie XSS funktioniert, solltet ihr wissen.

    Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse" Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man das raus, hat man gleich mal viel, viel weniger Probleme.

    Aber Achtung: Das ist KEINE Lösung. Lösungen sind so etwas wie HTML_SPECIAL_CHARS oder mysql_real_escape_string für MySQL.

    Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat man alles im Quelltext an einer Stelle und kann es schnell prüfen. Ob jetzt in PHP oder einer anderer Programmiersprache sollte auch egal sein, das Prinzip zählt. Möchte man eine Zahl erhalten, kann man sie auch gleich auf Zahleninhalt Prüfen.

  2. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 00:58

    Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich vielleicht ganz andere Schnitzer.

  3. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Graveangel 07.07.16 - 08:33

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet
    > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich
    > vielleicht ganz andere Schnitzer.


    Eines von denen, die immer neue kritische Lücken aufweisen und hier in den Meldungen stehen, oder was anderes, was ich nicht kenne?

    Glaube so 100% sicher ist schwierig.
    Selbst mit einer Fehlerquote die gegen 0 geht, gibt es immer irgendwann trotzdem Fehler.
    So lange der Code von Menschen geschrieben wird, gibt es keine 100%ige Sicherheit.

  4. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 08:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder man setzt einfach gleich ein etabliertes Framework ein, das
    > getestet
    > > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch
    > gleich
    > > vielleicht ganz andere Schnitzer.
    >
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?


    Wann hatte das letzte Mal eins der Core Symfony Components Sicherheitsprobleme? Ich rede ja nicht von WP.

  5. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: M. 07.07.16 - 08:48

    > Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse"
    > Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man
    > das raus, hat man gleich mal viel, viel weniger Probleme.
    Reicht aber nicht, hängt vom Kontext ab. Mal ein Beispiel:
    <a href="http://example.com/{$_GET['M']}">...
    Injection
    " onmouseover="alert('XSS')" style="display:block;position:fixed;top:0;left:0;right:0;bottom:0;
    JS wird ausgeführt, wenn der User den Cursor in den Viewport bewegt.

    > Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle
    > Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft
    > man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat
    > man alles im Quelltext an einer Stelle und kann es schnell prüfen.
    Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich noch wer?)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  6. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Narancs 07.07.16 - 08:50

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?

    Bei solchen fundamentalen Dingen sind solche Frameworks immer noch besser als gefühlte 90% von Code, den Entwickler sonst so schreiben. Ich habe den Idealismus schon aufgegeben, dass alle lernen es selber und richtig zu machen (abgesehen davon, dass es einfach unwirtschaftlich ist das Rad neu zu erfinden). Das wird nie passieren. Dafür habe ich schon zu viel Mist gesehen. Egal in welchen elitären Kreisen ihr euch bewegt, solche Typen und Codes gibt es leider trotzdem.

  7. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: registrierter_schreiber 07.07.16 - 10:33

    Richtig. Daher besser:
    a) Eigenen Code schreiben. Die Entwickler populärer Frameworks sind schießlich allesamt überbezahlte Amateure.
    b) Code einsetzen, der nicht von Menschen geschrieben wurde.

  8. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: alcon 07.07.16 - 14:20

    M. schrieb:
    > Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt
    > davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig
    > machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich
    > noch wer?)

    Du hast vollkommen Recht.

    Allerdings wollen die Leute immer noch mit ihren Frameworks alles magic machen und laufen damit wieder in dieselbe Falle.

    Wenn ich mit statischem HTML (ExtJs) und AJAX arbeite, wie soll dann bitteschoen ein Framework erkennen, in welchem Kontext ich die Daten einsetze?

    magic_quotes_gpc war ja auch direkt ins Framework integriert und wurde dann einfach eingeschaltet.
    Weil die ganzen Slashes in den Textfeldern ja nicht sonderlich gut aussahen wurde dann immer mal gerne foreach stripslashes gemacht... *facepalm*
    Man haette es besser gleich richtig gemacht, anstatt mit einem "golden Hammer" zu arbeiten.



    2 mal bearbeitet, zuletzt am 07.07.16 14:28 durch alcon.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HMS Industrial Networks GmbH, Karlsruhe
  2. Gamomat Distribution GmbH, Wagenfeld
  3. dSPACE GmbH, Paderborn
  4. über duerenhoff GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 59,90€
  2. und bis zu 50€ Cashback erhalten bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Halbleiterwerk: Samsung rüstet Fab 3 für sechs Milliarden US-Dollar auf
    Halbleiterwerk
    Samsung rüstet Fab 3 für sechs Milliarden US-Dollar auf

    Im südkoreanischen Hwaseong werden künftig Chips mit 7LPP-Verfahren und extrem ultravioletter Strahlung (EUV) gefertigt. Die Erweiterung der Fab 3 lässt sich Samsung mehrere Milliarden US-Dollar kosten, erste Kunden wie Qualcomm gibt es bereits.

  2. Archos Hello: Smarter Lautsprecher mit vollwertigem Android
    Archos Hello
    Smarter Lautsprecher mit vollwertigem Android

    MWC 2018 Archos geht bei smarten Lautsprechern einen anderen Weg als die Konkurrenz. Die Firma baut einen smarten Lautsprecher, der mit einem vollwertigen Android läuft. Das erlaubt mehr Möglichkeiten als ein Gerät mit dem Google Assistant oder Amazons Alexa.

  3. Automaton Games: Mavericks will Battle Royale für bis zu 400 Spieler bieten
    Automaton Games
    Mavericks will Battle Royale für bis zu 400 Spieler bieten

    Viermal mehr Teilnehmer als in Playerunknown's Battlegrounds sollen in Mavericks Proving Grounds um den Sieg kämpfen. Das Actionspiel von Automaton Games will mit einer neuen Middleware sogar noch mehr Spieler in seine Welt locken.


  1. 11:07

  2. 10:52

  3. 10:38

  4. 09:23

  5. 08:40

  6. 08:02

  7. 07:46

  8. 07:38