You are viewing a single comment's thread from:

RE: [DE] Cross-Site-Scripting (XSS) Angriffe verstehen

in #deutsch7 years ago (edited)

Das 1. Beispiel kann schädlich sein, wenn die Eingabe per GET übergeben werden kann. Dann können schadhafte Links verteilt werden. Ansonsten unkritisch, da das nur das Scriptkiddie selbst zu sehen bekommt.

Ebenso ist 3. unkritisch, da es auch nur das Spielkind sieht.

Das 2. hingegen kann bösartig sein. Daher sollten die Usereingaben immer gefiltert werden. Ich nutze z.B. bei PHP den Html purifier dafür. Wem das zu kompliziert ist, kann auch einfach strip_tags nutzen.

7 years ago in #deutsch by
$0.00
    1 vote
    Reply 1
    Sort:  
  • Trending
    • [-]
     7 years ago 

    Das 1. Beispiel ist genauso kritisch wenn die Eingabe nur per POST übergeben wird.
    Muss das Scriptkiddie ja auch nur eine entsprechende Form bauen die auf die Seite weiterleitet und die Parameter per POST übergibt.
    Hier wird beispielsweise erklärt wie sowas im einfachsten Falle aussehen kann.
    Für den User ist das sogar noch undurchsichtiger, weil er auch über die URL nichts ungewöhnliches feststellen kann...

    Das 3. Beispiel ist eher kritisch bei naiven Usern, die irgendwas in die Console pasten, weil es ihnen so gesagt wurde....

    Sagen wirs mal so, allein das so etwas existiert sagt doch schon aus wie viele darauf schon reingefallen sind...

    Gruß,
    Martin

    $0.13
    • Past Payouts $0.13
    • - Author $0.11
    • - Curators $0.02
    4 votes
    Reply