Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Hacker setzt…

verriet nicht, um welches Zeichen es sich handelt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. verriet nicht, um welches Zeichen es sich handelt

    Autor: MüllerWilly 06.07.16 - 19:58

    Zitat: verriet nicht, um welches Zeichen es sich handelt

    Soll das ein Scherz sein, Golem? Ihr seid ein Technik-Blog. Wie XSS funktioniert, solltet ihr wissen.

    Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse" Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man das raus, hat man gleich mal viel, viel weniger Probleme.

    Aber Achtung: Das ist KEINE Lösung. Lösungen sind so etwas wie HTML_SPECIAL_CHARS oder mysql_real_escape_string für MySQL.

    Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat man alles im Quelltext an einer Stelle und kann es schnell prüfen. Ob jetzt in PHP oder einer anderer Programmiersprache sollte auch egal sein, das Prinzip zählt. Möchte man eine Zahl erhalten, kann man sie auch gleich auf Zahleninhalt Prüfen.

  2. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 00:58

    Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich vielleicht ganz andere Schnitzer.

  3. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Graveangel 07.07.16 - 08:33

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet
    > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich
    > vielleicht ganz andere Schnitzer.


    Eines von denen, die immer neue kritische Lücken aufweisen und hier in den Meldungen stehen, oder was anderes, was ich nicht kenne?

    Glaube so 100% sicher ist schwierig.
    Selbst mit einer Fehlerquote die gegen 0 geht, gibt es immer irgendwann trotzdem Fehler.
    So lange der Code von Menschen geschrieben wird, gibt es keine 100%ige Sicherheit.

  4. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 08:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder man setzt einfach gleich ein etabliertes Framework ein, das
    > getestet
    > > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch
    > gleich
    > > vielleicht ganz andere Schnitzer.
    >
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?


    Wann hatte das letzte Mal eins der Core Symfony Components Sicherheitsprobleme? Ich rede ja nicht von WP.

  5. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: M. 07.07.16 - 08:48

    > Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse"
    > Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man
    > das raus, hat man gleich mal viel, viel weniger Probleme.
    Reicht aber nicht, hängt vom Kontext ab. Mal ein Beispiel:
    <a href="http://example.com/{$_GET['M']}">...
    Injection
    " onmouseover="alert('XSS')" style="display:block;position:fixed;top:0;left:0;right:0;bottom:0;
    JS wird ausgeführt, wenn der User den Cursor in den Viewport bewegt.

    > Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle
    > Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft
    > man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat
    > man alles im Quelltext an einer Stelle und kann es schnell prüfen.
    Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich noch wer?)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  6. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Narancs 07.07.16 - 08:50

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?

    Bei solchen fundamentalen Dingen sind solche Frameworks immer noch besser als gefühlte 90% von Code, den Entwickler sonst so schreiben. Ich habe den Idealismus schon aufgegeben, dass alle lernen es selber und richtig zu machen (abgesehen davon, dass es einfach unwirtschaftlich ist das Rad neu zu erfinden). Das wird nie passieren. Dafür habe ich schon zu viel Mist gesehen. Egal in welchen elitären Kreisen ihr euch bewegt, solche Typen und Codes gibt es leider trotzdem.

  7. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: registrierter_schreiber 07.07.16 - 10:33

    Richtig. Daher besser:
    a) Eigenen Code schreiben. Die Entwickler populärer Frameworks sind schießlich allesamt überbezahlte Amateure.
    b) Code einsetzen, der nicht von Menschen geschrieben wurde.

  8. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: alcon 07.07.16 - 14:20

    M. schrieb:
    > Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt
    > davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig
    > machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich
    > noch wer?)

    Du hast vollkommen Recht.

    Allerdings wollen die Leute immer noch mit ihren Frameworks alles magic machen und laufen damit wieder in dieselbe Falle.

    Wenn ich mit statischem HTML (ExtJs) und AJAX arbeite, wie soll dann bitteschoen ein Framework erkennen, in welchem Kontext ich die Daten einsetze?

    magic_quotes_gpc war ja auch direkt ins Framework integriert und wurde dann einfach eingeschaltet.
    Weil die ganzen Slashes in den Textfeldern ja nicht sonderlich gut aussahen wurde dann immer mal gerne foreach stripslashes gemacht... *facepalm*
    Man haette es besser gleich richtig gemacht, anstatt mit einem "golden Hammer" zu arbeiten.



    2 mal bearbeitet, zuletzt am 07.07.16 14:28 durch alcon.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. Detecon International GmbH, Dresden
  3. Syna GmbH, Frankfurt am Main
  4. PTV Group, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. CoD: Infinite Warefare Legacy Edition 25,00€)
  2. 59,00€
  3. (u. a. PlayStation 4 + Horizon Zero Dawn + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Service: Telekom verspricht kürzeres Warten auf Techniker
    Service
    Telekom verspricht kürzeres Warten auf Techniker

    Nur noch wenige Stunden auf den Telekom-Techniker warten, das würde der Telekom-Chef gerne versprechen. Doch er traut sich noch nicht so richtig.

  2. BVG: Fast alle U-Bahnhöfe mit offenem WLAN
    BVG
    Fast alle U-Bahnhöfe mit offenem WLAN

    Der Ausbau des BVG-WLAN ist fast fertiggestellt. Rund 10.000 Nutzer seien gleichzeitig in dem drahtlosen Netzwerk aktiv, Tendenz steigend.

  3. Android-Apps: Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
    Android-Apps
    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

    Zwei Funktionen für Android-Apps können einfach missbraucht werden, um Nutzereingaben mitzulesen oder sogar weitere bösartige Apps zu installieren - ohne Wissen oder Zutun des Anwenders. Google hat bereits reagiert.


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10