[Erledigt] Gefahren eines PHP Scripts in <img

Dopar · 20.11.2010, 10:34

Hey Leute,

ich hab da ne kurze Frage. Man kann ja mit PHP Bilder generieren und via img-Tag einbinden. (<img src="">). Wenn ich da nun den Usern die Freiheit lasse Bilder mit <img einzubinden: Könnten sie dann - theoretisch - irgendwelche Schadcodes einschleusen oder kann man da wirklich ausschließlich BILDER einbinden? Selbiges gilt für den CSS Befehl (background-image: url()

Danke im vorraus.

Wolla · 20.11.2010, 11:40

<img source = "http://example.org/script.php"> führt ein Script auf dem fernen Server aus.

<img source = "http://example.org/script.jpg"> kann auch ein Script ausführen, wenn man die jpg-Endung verbogen hat.

Oder meintest du etwas anderes?

Dopar · 21.11.2010, 00:52

Ich meinte:

Wenn ich einem Benutzer die Freiheit lasse, einen IMG Tag zu füllen mit einer belibigen Resource:

Besteht dann Gefahr, dass er Schädliche Scripts ausführen kann, bzw in meine Seite einbinden?

Flor1an · 21.11.2010, 13:13

Also du solltest den User natürlich kein HTML Eintragen lassen sonst könnte er XSS Angriffe starten. Wenn du ihn nur eine URL angeben lässt dann wird ja nie das Skript auf deinem Server ausgeführt sondern nur dort wo das Skript selbst liegt.

Vlt. solltest du dir die Grundsätzliche Funktionsweise von PHP/Webservern/HTTP nochmal anschauen!

Dopar · 22.11.2010, 18:24

Das ist mir durchaus bekannt

Was mir allerdings nicht sonderlich bekannt ist, sind die Methoden des Cross Site Scriptings. Habe noch nie probiert etwas via XSS zu zuerstören und irgendwelche gloreichen Ideen haben Hacker ja öfter.

Flor1an · 22.11.2010, 19:14

Ja bei XSS spielt aber PHP keine Rolle sondern JavaScript. Und beim Imagetag musst du natürlich aufpassen das er nur eine URL angibt und die Daten auch später durch htmlentities jagst damit kein JavaScript Code in den Tag geschrieben werden kann!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP-Entwickler für kleine bis mittelgroße Scripts	neffetshd	Gewerblich	1	10.11.2010 16:23
Datenbank-Einträge per Editor vor fremde Scripts schützen	Ahrta5	PHP Tipps 2010	1	24.02.2010 22:15
[Erledigt] Das ausführen eines PHP Scripts beenden	hman13	PHP-Fortgeschrittene	2	23.02.2010 20:33
[Erledigt] XSS Sicherheit bei dynamischem einbinden von Scripts	kn0wledge	JavaScript, Ajax und mehr	10	18.02.2010 18:19
Wie erreiche ich es, das beim nochmaligen Aufrufen eines Scripts (z.B. zur Fehlerkorr	Schniper	PHP Tipps 2009	14	03.12.2009 13:35
Scriptangebot Biete mehrere kleine Scripts an - Weitere Aufträge gewünscht	adrinator	Scriptbörse	0	09.11.2009 16:24
Email Script(s) funktionieren nicht	SteSte	PHP Tipps 2009	7	18.02.2009 13:56
2 scripts login schützen	Change	PHP Tipps 2008	2	16.08.2008 16:26
Hilfe beim Zusammenfüger 2er Scripts	Flames1848	PHP Tipps 2008	7	27.05.2008 15:08
Einbauen Externer Scripts (UMFRAGE)	Adminator	PHP Tipps 2007	10	05.03.2007 10:32
Online Game Scripts	Carrear	Beitragsarchiv	10	17.02.2005 01:47
IIS 5 und PHP Scripts		PHP Tipps 2005	4	04.01.2005 00:17
Noob braucht hilfe mit xampp / apache um scripts auszuführen		PHP Tipps 2004	9	05.07.2004 20:23
Name des laufenden Scripts		PHP Tipps 2004	11	03.06.2004 08:14

20.11.2010, 10:34
Dopar Benutzer Registriert seit: 24.09.2009 Beiträge: 95 PHP-Kenntnisse: Anfänger	[Erledigt] Gefahren eines PHP Scripts in <img Hey Leute, ich hab da ne kurze Frage. Man kann ja mit PHP Bilder generieren und via img-Tag einbinden. (<img src="">). Wenn ich da nun den Usern die Freiheit lasse Bilder mit <img einzubinden: Könnten sie dann - theoretisch - irgendwelche Schadcodes einschleusen oder kann man da wirklich ausschließlich BILDER einbinden? Selbiges gilt für den CSS Befehl (background-image: url() Danke im vorraus.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.11.2010, 11:40
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	<img source = "http://example.org/script.php"> führt ein Script auf dem fernen Server aus. <img source = "http://example.org/script.jpg"> kann auch ein Script ausführen, wenn man die jpg-Endung verbogen hat. Oder meintest du etwas anderes? __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

21.11.2010, 00:52
Dopar Benutzer Registriert seit: 24.09.2009 Beiträge: 95 PHP-Kenntnisse: Anfänger	Ich meinte: Wenn ich einem Benutzer die Freiheit lasse, einen IMG Tag zu füllen mit einer belibigen Resource: Besteht dann Gefahr, dass er Schädliche Scripts ausführen kann, bzw in meine Seite einbinden?

21.11.2010, 13:13
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Also du solltest den User natürlich kein HTML Eintragen lassen sonst könnte er XSS Angriffe starten. Wenn du ihn nur eine URL angeben lässt dann wird ja nie das Skript auf deinem Server ausgeführt sondern nur dort wo das Skript selbst liegt. Vlt. solltest du dir die Grundsätzliche Funktionsweise von PHP/Webservern/HTTP nochmal anschauen!

22.11.2010, 18:24
Dopar Benutzer Registriert seit: 24.09.2009 Beiträge: 95 PHP-Kenntnisse: Anfänger	Das ist mir durchaus bekannt Was mir allerdings nicht sonderlich bekannt ist, sind die Methoden des Cross Site Scriptings. Habe noch nie probiert etwas via XSS zu zuerstören und irgendwelche gloreichen Ideen haben Hacker ja öfter.

22.11.2010, 19:14
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ja bei XSS spielt aber PHP keine Rolle sondern JavaScript. Und beim Imagetag musst du natürlich aufpassen das er nur eine URL angibt und die Daten auch später durch htmlentities jagst damit kein JavaScript Code in den Tag geschrieben werden kann!