Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › XSS: Cross-Site-Scripting über DNS…

nicht nur tags ersetzen

  1. Thema

Neues Thema Ansicht wechseln


  1. nicht nur tags ersetzen

    Autor: IchBinFanboyVonMirSelbst 20.09.14 - 16:36

    @Gilem:

    Eine sehr perfiede variante die inzwischen gerne genutzt wird ist die html typischen klammern durch ihre ASCII Codes zu ersetzen. Das Rendern einige Browser so als wäre es erlaubter Code. Die sollte man also auch sicherheitshalber gleich mit weg filtern.

  2. Re: nicht nur tags ersetzen

    Autor: a.nonymous 20.09.14 - 17:50

    IchBinFanboyVonMirSelbst schrieb:
    --------------------------------------------------------------------------------
    > @Gilem:
    >
    > Eine sehr perfiede variante die inzwischen gerne genutzt wird ist die html
    > typischen klammern durch ihre ASCII Codes zu ersetzen. Das Rendern einige
    > Browser so als wäre es erlaubter Code. Die sollte man also auch
    > sicherheitshalber gleich mit weg filtern.

    Hast du eine Quelle dafür bzw. eine Liste, um welche Browser es sich handelt? Wäre mir nämlich neu.

    VG

  3. Re: nicht nur tags ersetzen

    Autor: IchBinFanboyVonMirSelbst 21.09.14 - 08:37

    Ist auch nicht so weit verbreitet bekannt.

    Auf die schnelle hab ich das Video hier aus 2010 gefunden.
    http://channel9.msdn.com/Events/MIX/MIX10/FT05

    Da wird sowas und andere mehr oder weniger einfache Fallen für Web Devs demonstriert. Ist zwar sehr .Net lästig. Aber die meisten Sachen lassen sich auch wo anders anwenden.

    Das mit den Ascii Codes funktioniert. Hab ich selbst sogar schon mal mit Absicht zu guten zwecken eingesetzt.
    Üblicherweise nutzen wir IE. Da es schon länger her war, müsste das damals 8 oder 9 gewesen sein.

  4. Re: nicht nur tags ersetzen

    Autor: Mauwowjkd 21.09.14 - 22:13

    Hallo,

    IchBinFanboyVonMirSelbst schrieb:
    --------------------------------------------------------------------------------
    > @Gilem:
    >
    > Eine sehr perfiede variante die inzwischen gerne genutzt wird ist die html
    > typischen klammern durch ihre ASCII Codes zu ersetzen. Das Rendern einige
    > Browser so als wäre es erlaubter Code. Die sollte man also auch
    > sicherheitshalber gleich mit weg filtern.

    ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von spitzen Klammern als Start-Tags interpretieren würden, denn das kann eigntlich nicht sein. Selbst bei veralteten IEs wie IE 8 kann ich mir das nicht vorstellen, und in dem verlinkten Video fand ich dazu auch nichts.

    Beim HTML- bzw. XML-Kodieren von externen Textinput (sofern man das als HTML- bzw. XML-Textknoten oder Attributwert ausgeben will) gibt es nur 4 Zeichen, die man ersetzen muss: "<" (kennzeichnet ein Start-Tag), ">" (muss man zumindest in XML ersetzen da dort ]]> nicht vorkommen darf, weil es das Ende einer CDATA-Sektion markieren würde), Doppelte Anführungszeichen (") wenn diese in Attributwerten vorkommen sollen und diese wiederrum durch doppelte Anführungszeichen begrenzt sind, sowie "&", weil dieses Zeichen- oder Entitätsreferenzen einleitet.

    Wenn man jedoch externe Strings in ein Javascript-Stringliteral in einem <script>-Body einfügen will wie in dem Video am Anfang, müsste man hingegen Zeichen mit besonderer Bedeutung in Javascript-Stringliteralen wie "\", """ usw. ersetzen, deshalb würde ich solche Daten z.B. data-* Attribute in HTML-Elementen einfügen, welche man dann wieder mit Javascript auslesen kann.

    Wie du das mit dem ASCII-Codes meinst, würde mich allerdings schon intressieren.



    2 mal bearbeitet, zuletzt am 21.09.14 22:15 durch Mauwowjkd.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Wolfsburg
  2. Proximity Technology GmbH, Hamburg
  3. Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)
  4. BWI GmbH, Bonn, Köln, Wilhelmshaven, Potsdam-Schwielowsee

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 127,99€ (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Switch Wenn die Analogsticks wandern
  2. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  3. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

  1. Festnetz: Deutsche Telekom hat mehr FTTH als Deutsche Glasfaser
    Festnetz
    Deutsche Telekom hat mehr FTTH als Deutsche Glasfaser

    Die Deutsche Telekom hat überraschend den Spitzenplatz bei der Versorgung mit FTTH für sich beansprucht. Zugleich gibt die Telekom zu, dass deutlich weniger als die Hälfte der versorgten Haushalte FTTH auch buchen.

  2. Arbeitsspeicher: Ryzen 3000 rechnet mit DDR4-3733-CL16 am schnellsten
    Arbeitsspeicher
    Ryzen 3000 rechnet mit DDR4-3733-CL16 am schnellsten

    AMDs Zen-2-CPUs unterstützen offiziell DDR4-3200, können aber auch mit deutlich höher getaktetem Speicher umgehen. Ein umfangreicher Test zeigt, dass DDR4-3733 mit relativ straffen Latenzen derzeit das Optimum für die Ryzen 3000 darstellt, weil so auch die interne Fabric-Geschwindigkeit steigt.

  3. UL 3DMark: Feature Test prüft variable Shading-Rate
    UL 3DMark
    Feature Test prüft variable Shading-Rate

    Nvidia unterstützt es bereits, AMD und Intel in den nächsten Monaten: Per Variable Rate Shading werden in PC-Spielen bestimmte Bereiche mit weniger Aufwand gerendert, idealerweise solche, die nicht ins Auge fallen. Der 3DMark zeigt bald, wie unter Direct3D 12 die Bildrate ohne größere Qualitätsverluste steigen soll.


  1. 19:25

  2. 18:00

  3. 17:31

  4. 10:00

  5. 13:00

  6. 12:30

  7. 11:57

  8. 17:52