Cross Site Scripting

nikosch · 05.10.2008, 13:46

Diskussionsbeitrag zum Wiki Eintrag: Cross Site Scripting.

Die Diskussionsplattform des PHP.de Wiki wurde ins Forum integriert. Durch Klicken des Buttons "Antwort" kannst du an diesem Thema teilnehmen.

nikosch · 05.10.2008, 13:46

"Angriffstechnik auf die Besucher"? Hihi

Notizen an mich selbst:
- stichwort blacklist
- verschleiern von Angriffen/umgehung von blacklists durch #23 Typ
- CSS / HTML Manipulation als verwandten Effekt
- Codebeispiele, die die Ausgaben erzeugen, vor allem $_SERVER['PHP_SELF']

Manko10 · 05.10.2008, 13:54

Ja, etwa nicht?

nikosch · 05.10.2008, 13:59

Ist das unter Passwortspeicherung etc. beschriebene nicht eher bei CSRF relevant? Zumindest ein Hinweis auf die zeitliche Varianz ist hier wichtig. Das Kapiel ist imho sowieso ausbaufähig.

Manko10 · 05.10.2008, 14:01

Wenn du meinst. Ändere es nach deinen Bedürfnissen. Meinetwegen kann auch noch der Bearbeitungsbaustein in den Artikel rein, da es sich nur um eine Rohfassung handelt.

nikosch · 05.10.2008, 15:32

Hab jetzt keine Zeit, ist so aber sprachlich nicht korrekt:

Zitat:

Ein verwandtes Problem ist das Einschleusen anderer clientverarbeiteten Sprachteile wie HTML-Code oder CSS-Formatierungsangaben. Das Spektrum reicht hier von der Einbringung eigener Inhalte über Neuformatierung bis zur Unbenutzbarkeit der Seite. Neben konkreten Schäden für den Nutzer kann ein erheblicher Imageschaden für den Seitenbetreiber entstehen.

Spektrum bezieht sich auf das Einschleusen. Unbenutzbarkeit ist aber ein Effekt, keine Aktion. Daher der vormals etwas sperrige Satz... Oder das über stimmt nicht.

Manko10 · 05.10.2008, 19:51

Dann aber:

Zitat:

Ein verwandtes Problem ist das Einschleusen anderer clientverarbeiteten Sprachteile wie HTML-Code oder CSS-Formatierungsangaben. Das Spektrum reicht hier von der Einbringung eigener Inhalte bis zur Neuformatierung und somit zur Unbenutzbarkeit der Seite. Neben konkreten Schäden für den Nutzer kann ein erheblicher Imageschaden für den Seitenbetreiber entstehen.

nikosch · 05.10.2008, 19:55

Joa, ist zwar nicht zwingend der Effekt, aber kann man so machen. Danke.

Manko10 · 05.10.2008, 19:58

Dann füge noch ein u.U. oder in evtl. ein.
Aber diese Stelle war nicht die Einzige, die ich geändert habe. Du hast auch mal wieder ein paar Bindestriche etc. unterschlagen.

nikosch · 05.10.2008, 20:01

Hmm, Wikipedia spricht auch von bbCode
BBCode – Wikipedia
Meinst Du doch, oder?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cross Content Media sucht motivierten PHP-Entwickler in München	crosscontent	Beitragsarchiv	0	23.08.2008 17:41
Permalink überprüfen per PHP - Wordpress site	bentobento	PHP Tipps 2008	1	09.10.2007 08:37
Wer möchte Site aufmöbeln?	dh1sbg	Trash	12	22.03.2007 18:26
site laden, bevor alles angezeigt wird	möchtegernchegga	HTML, Usability und Barrierefreiheit	2	23.11.2005 18:28
StarTrek - ForenRPG (spezielles Forum + Site)		Beitragsarchiv	3	22.08.2005 21:49
Warning: filesize(): SAFE MODE Restriction in effect.	nicobischof	PHP Tipps 2005-2	9	17.08.2005 19:05
Site wird nicht angezeigt :shock:	Chrisber	HTML, Usability und Barrierefreiheit	23	13.07.2005 15:41
Teilbereiche einer Site nachladen		HTML, Usability und Barrierefreiheit	12	23.04.2005 15:49
Herausfinden welche Site im Frame geladen ist		PHP Tipps 2005	11	03.03.2005 14:38
site laden in php file		PHP Tipps 2005	18	20.01.2005 15:40
Site refresh probleme....		PHP Tipps 2004-2	10	28.12.2004 16:17
Sicheres Verfahren, um Site zu schützen		HTML, Usability und Barrierefreiheit	6	25.09.2004 01:57
[Erledigt] site xy speichern und gegf. löschen??!!		PHP Tipps 2004	1	03.08.2004 20:23
[Erledigt] Template Scripting		PHP-Fortgeschrittene	2	04.06.2004 18:34

05.10.2008, 13:46
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Cross Site Scripting Diskussionsbeitrag zum Wiki Eintrag: Cross Site Scripting. Die Diskussionsplattform des PHP.de Wiki wurde ins Forum integriert. Durch Klicken des Buttons "Antwort" kannst du an diesem Thema teilnehmen.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

05.10.2008, 13:54
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Ja, etwa nicht? __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

05.10.2008, 13:59
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Ist das unter Passwortspeicherung etc. beschriebene nicht eher bei CSRF relevant? Zumindest ein Hinweis auf die zeitliche Varianz ist hier wichtig. Das Kapiel ist imho sowieso ausbaufähig. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

05.10.2008, 14:01
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Wenn du meinst. Ändere es nach deinen Bedürfnissen. Meinetwegen kann auch noch der Bearbeitungsbaustein in den Artikel rein, da es sich nur um eine Rohfassung handelt. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

05.10.2008, 19:55
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Joa, ist zwar nicht zwingend der Effekt, aber kann man so machen. Danke. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

05.10.2008, 19:58
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Dann füge noch ein u.U. oder in evtl. ein. Aber diese Stelle war nicht die Einzige, die ich geändert habe. Du hast auch mal wieder ein paar Bindestriche etc. unterschlagen. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

05.10.2008, 20:01
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Hmm, Wikipedia spricht auch von bbCode BBCode – Wikipedia Meinst Du doch, oder? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --