Ankündigung

Einklappen
Keine Ankündigung bisher.

XSS - Lücke schließen...aber wie?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • XSS - Lücke schließen...aber wie?

    Hallo,

    hab in einem meiner Systeme ne XSS - Lücke gefunden trotz addslashes().

    Denn dieser Code hier wird ausgeführt:

    ';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83 ,83))</SCRIPT>
    Mein String wird derzeit mittels addslashes() behandelt. Aber was müsste ich denn noch gegen solche Angriffe machen?
    Im speziellen gehts hier um Begriffe, die also ohne Leerezeichen sind. Also sowas von der Art: "neu" oder sowas.

    Danke

  • #2
    Warum benutzt du nur addslashes??

    Die funktion macht doch folgendes:
    addslashes — Stellt bestimmten Zeichen eines Strings ein "\" voran

    Damit hast du jedoch noch > und < als mögliche Eingaben.

    Daher solltest du htmlspecialchars verwenden.

    So wird dann aus
    PHP-Code:
    <SCRIPT
    folgendes
    PHP-Code:
    &lt;SCRIPT&gt
    Schon ist Dein Script sicher.

    Kommentar


    • #3
      Joa, addslashes brauchst du sogesehen nicht. Bei der ausgabe einfach htmlspecialchars oder htmlentities verwenden!

      Kommentar


      • #4
        Hmh...also trotz htmlspe... bekomm ich noch immer die css-Lücke. Das bleibt noch übrig:

        \';alert(String.fromCharCode(88,83,83))//\\\';alert(String.fromCharCode(88,83,83))//

        Kommentar


        • #5
          Wird aber nicht ausgeführt oder?

          Kommentar


          • #6
            Nach htmlspezialchars ist das keine Lücke mehr

            mfg

            Kommentar


            • #7
              Zitat von BartTheDevil89 Beitrag anzeigen
              Hmh...also trotz htmlspe... bekomm ich noch immer die css-Lücke. Das bleibt noch übrig:
              Bitte benutze [code]-Tags und nicht [quote], wenn du Beispieldaten postest - letzteres erschwert das Zitieren.

              Und dann beschreibe dein Problem bitte mal nachvollziehbar.
              Ob ein solcher Code als JavaScript ausgeführt wird, hängt davon ab, an welcher Stelle in einem HTML-Dokument er auftaucht - darüber hast du uns aber bisher im unklaren gelassen.
              [SIZE="1"]RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?[/SIZE]

              Kommentar


              • #8
                Doch wird noch immer ausgeführt...bekomm ein alert mit "XSS" im Inhalt.

                Kommentar


                • #9
                  Tja, dann machst du wohl immer noch was falsch ...

                  Was, können wir dir aber erst sagen, wenn du uns endlich mal zeigst, was du machst.
                  [SIZE="1"]RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?[/SIZE]

                  Kommentar

                  Lädt...
                  X