kostenloser Webspace werbefrei: lima-city


Hackangriff mit unbekanntem code..

lima-cityForumProgrammiersprachenSonstige Programmiersprachen

  1. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    Hallo :-)

    Heute morgen, habe ich in den Kommentaren die auf meiner "schlecht kopierten" Website möglich sind, einige seltsame Kommentare von einem gewissen "Dexus" erhalten...
    Die sahen folgendermasen aus:
    < script > alert('xss'); < /script >

    und
    %3Cscript%3Ealert%28%27xss%27%29%3B%3C%2Fscript%3E

    und
    < 123


    Die kommentarfunktion habe ich natürlich so programmmiert, dass alle Sonderzeichen html etc. vorher gefiltert werden und ggf. ersetzt, bzw. entfernt werden, bevor sie in eine Datenbank abgelegt werden.

    Was ist das für ein code, und muss ich mir irgendwelche sorgen machen, bzw. kann ich mich schützen?

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. g******r

    Hallo,

    Google Fragen hilft: http://de.selfhtml.org/javascript/objekte/window.htm#alert

    Dieses Script giebt lediglich einen Text in einem Dialogfenster aus.

    Beitrag zuletzt geändert: 20.2.2012 15:13:12 von gatterer
  4. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    paddy-herrmy schrieb:
    Was ist das für ein code, und muss ich mir irgendwelche sorgen machen, bzw. kann ich mich schützen?
    Der Code ist JavaScript-Code, der ein Fenster mit dem Inhalt 'XSS' aufmachen sollte.
    Damit wollte jemand prüfen, ob deine Seite anfällig gegen Cross-Site-Scripting ist. Wenn dabei das gewünschte Fenster aufgeht weiß der Angreifer dass er jedem ein von dir nicht geplantes Script auf die Seite laden kann und damit Clientseitig alles von deiner Seite verändern kann sowie einen Keylogger installieren, um mögliche Passwörter auszulesen.

    Der Angreifer (Dexus) kennt sich aber anscheinend nicht genug mit XSS aus, sonst würde er wissen, dass sein Versuch nicht gerade der Beste weg ist. Der Nachteil an seinem Versuch ist, dass die Meldung sehr auffällig ist und jeden sofort alarmieren sollte.

    Wenn bei dir kein solches Fenster kommt musst du dir auch keine weiteren Gedanken machen.
  5. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    Danke für die schnelle Antworten^^
    Ich weiss jetzt auch wer es war, und gehe stark davon aus, dass er nix böses im schilde führt..:holy:

    hackyourlife schrieb:
    Der Code ist JavaScript-Code, der ein Fenster mit dem Inhalt 'XSS' aufmachen sollte.
    Damit wollte jemand prüfen, ob deine Seite anfällig gegen Cross-Site-Scripting ist.


    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?

    Beitrag zuletzt geändert: 20.2.2012 15:18:25 von paddy-herrmy
  6. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?
    Hab ich mir gerade angeschaut und SOLLTE gegen XSS sicher sein.
  7. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?

    Vermutlich sollte genau das der Test herausfinden, ob du überall sauber Sonderzeichen in HTML-Entities umwandelst.
    Wenn du das getan hast, und du auch bei deinen Datenbank-Abfragen Injections verhinderst, sollte deine Seite sicher sein.
  8. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    hackyourlife schrieb:
    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?
    Hab ich mir gerade angeschaut und SOLLTE gegen XSS sicher sein.


    xDD Oh.. dann bist du der "xss" ? xD dann bist jetzt gebannt^^.. dachte, das wär wieder der...

    burgi schrieb:
    Vermutlich sollte genau das der Test herausfinden, ob du überall sauber Sonderzeichen in HTML-Entities umwandelst.
    Wenn du das getan hast, und du auch bei deinen Datenbank-Abfragen Injections verhinderst, sollte deine Seite sicher sein.


    Danke ;-)
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!