Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Hacker setzt…

verriet nicht, um welches Zeichen es sich handelt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. verriet nicht, um welches Zeichen es sich handelt

    Autor: MüllerWilly 06.07.16 - 19:58

    Zitat: verriet nicht, um welches Zeichen es sich handelt

    Soll das ein Scherz sein, Golem? Ihr seid ein Technik-Blog. Wie XSS funktioniert, solltet ihr wissen.

    Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse" Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man das raus, hat man gleich mal viel, viel weniger Probleme.

    Aber Achtung: Das ist KEINE Lösung. Lösungen sind so etwas wie HTML_SPECIAL_CHARS oder mysql_real_escape_string für MySQL.

    Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat man alles im Quelltext an einer Stelle und kann es schnell prüfen. Ob jetzt in PHP oder einer anderer Programmiersprache sollte auch egal sein, das Prinzip zählt. Möchte man eine Zahl erhalten, kann man sie auch gleich auf Zahleninhalt Prüfen.

  2. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 00:58

    Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich vielleicht ganz andere Schnitzer.

  3. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Graveangel 07.07.16 - 08:33

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Oder man setzt einfach gleich ein etabliertes Framework ein, das getestet
    > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch gleich
    > vielleicht ganz andere Schnitzer.


    Eines von denen, die immer neue kritische Lücken aufweisen und hier in den Meldungen stehen, oder was anderes, was ich nicht kenne?

    Glaube so 100% sicher ist schwierig.
    Selbst mit einer Fehlerquote die gegen 0 geht, gibt es immer irgendwann trotzdem Fehler.
    So lange der Code von Menschen geschrieben wird, gibt es keine 100%ige Sicherheit.

  4. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: AlexanderSchäfer 07.07.16 - 08:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder man setzt einfach gleich ein etabliertes Framework ein, das
    > getestet
    > > ist und einem diese ganzen Basics abnimmt. Somit vermeidet man auch
    > gleich
    > > vielleicht ganz andere Schnitzer.
    >
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?


    Wann hatte das letzte Mal eins der Core Symfony Components Sicherheitsprobleme? Ich rede ja nicht von WP.

  5. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: M. 07.07.16 - 08:48

    > Für XSS muss man HTML einschleusen. somit ist das < Zeichen das "Böse"
    > Zeichen. Das benötigt man für GET Parameter normal ja nicht. Filtert man
    > das raus, hat man gleich mal viel, viel weniger Probleme.
    Reicht aber nicht, hängt vom Kontext ab. Mal ein Beispiel:
    <a href="http://example.com/{$_GET['M']}">...
    Injection
    " onmouseover="alert('XSS')" style="display:block;position:fixed;top:0;left:0;right:0;bottom:0;
    JS wird ausgeführt, wenn der User den Cursor in den Viewport bewegt.

    > Ich Rate z.B. zu einer "Input_variablen.php". Dort deklariert man alle
    > Variablen. Gerade die GET, POST und SERVER Variablen. Und dort überprüft
    > man sie auch. Und das ganze macht man zu 100% NUR in dieser Datei. Dann hat
    > man alles im Quelltext an einer Stelle und kann es schnell prüfen.
    Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich noch wer?)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  6. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: Narancs 07.07.16 - 08:50

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Eines von denen, die immer neue kritische Lücken aufweisen und hier in den
    > Meldungen stehen, oder was anderes, was ich nicht kenne?

    Bei solchen fundamentalen Dingen sind solche Frameworks immer noch besser als gefühlte 90% von Code, den Entwickler sonst so schreiben. Ich habe den Idealismus schon aufgegeben, dass alle lernen es selber und richtig zu machen (abgesehen davon, dass es einfach unwirtschaftlich ist das Rad neu zu erfinden). Das wird nie passieren. Dafür habe ich schon zu viel Mist gesehen. Egal in welchen elitären Kreisen ihr euch bewegt, solche Typen und Codes gibt es leider trotzdem.

  7. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: registrierter_schreiber 07.07.16 - 10:33

    Richtig. Daher besser:
    a) Eigenen Code schreiben. Die Entwickler populärer Frameworks sind schießlich allesamt überbezahlte Amateure.
    b) Code einsetzen, der nicht von Menschen geschrieben wurde.

  8. Re: verriet nicht, um welches Zeichen es sich handelt

    Autor: alcon 07.07.16 - 14:20

    M. schrieb:
    > Nur kann man Benutzereingaben halt nicht allgemeingültig escapen. Das hängt
    > davon ab in welchem Kontext man sie benutzen will. Das kontextunabhängig
    > machen zu wollen ist ähnlich unsinnig wie magic_quotes_gpc (erinnert sich
    > noch wer?)

    Du hast vollkommen Recht.

    Allerdings wollen die Leute immer noch mit ihren Frameworks alles magic machen und laufen damit wieder in dieselbe Falle.

    Wenn ich mit statischem HTML (ExtJs) und AJAX arbeite, wie soll dann bitteschoen ein Framework erkennen, in welchem Kontext ich die Daten einsetze?

    magic_quotes_gpc war ja auch direkt ins Framework integriert und wurde dann einfach eingeschaltet.
    Weil die ganzen Slashes in den Textfeldern ja nicht sonderlich gut aussahen wurde dann immer mal gerne foreach stripslashes gemacht... *facepalm*
    Man haette es besser gleich richtig gemacht, anstatt mit einem "golden Hammer" zu arbeiten.



    2 mal bearbeitet, zuletzt am 07.07.16 14:28 durch alcon.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Robert Bosch GmbH, Schwieberdingen
  3. Ratbacher GmbH, Dortmund
  4. Pfennigparade WKM GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Rayman Legends 8,99€, Rayman Origins 4,99€ und Syberia 3 14,80€)
  2. 199,90€ + 5,99€ Versand (Vergleichspreis ca. 235€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Unterwegs auf der Babymesse: "Eltern vibrieren nicht"
Unterwegs auf der Babymesse
"Eltern vibrieren nicht"
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Watson: IBMs Supercomputer stellt sich dumm an
Watson
IBMs Supercomputer stellt sich dumm an
  1. IBM Watson soll auf KI-Markt verdrängt werden
  2. KI von IBM Watson optimiert Prozesse und schließt Sicherheitslücken

  1. MacOS 10.13: Apple gibt High Sierra frei
    MacOS 10.13
    Apple gibt High Sierra frei

    Apple hat das neue MacOS 10.13 alias High Sierra zum Download bereitgestellt. APFS wird damit für einige Nutzer Pflicht. Es gibt allerdings auch schon Warnungen von Herstellern, die mit den kurzen Entwicklungszyklen von Apple nicht zurechtkommen.

  2. WatchOS 4.0 im Test: Apples praktische Taschenlampe mit autarkem Musikplayer
    WatchOS 4.0 im Test
    Apples praktische Taschenlampe mit autarkem Musikplayer

    Etliche Neuerungen von WatchOS 4.0 sind nur Spielereien. Einige Kleinigkeiten machen die Apple Watch im Alltag aber deutlich praktischer.

  3. Werksreset: Unitymedia stellt Senderbelegung heute in Hessen um
    Werksreset
    Unitymedia stellt Senderbelegung heute in Hessen um

    Heute Nacht ist Hessen dran: Nach der Analogabschaltung im TV-Kabelnetz werden die Sendeplätze neu geordnet. Marode Kabel in den Häusern brachten zuvor in Nordrhein-Westfalen große Probleme für Unitymedia.


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28