kostenloser Webspace werbefrei: lima-city


XSS - Angriffe verhindern

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    onur-yavuz

    onur-yavuz hat kostenlosen Webspace.

    Wie kann man eigentlich XSS tag/angriff">Angriffe verhindern. Genau dies ist mir vor 2 Tagen passiert.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. h***e

  4. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Kurz: vor der Ausgabe von durch den Benutzer eingegebenen Daten immer htmlspecialchars() anwenden.

    Also z.B. so:
    <?php
    echo(htmlspecialchars($_GET['variable']));

    Bei der Nutzung einer Datenbank zur Speicherung solcher Daten solltes diese Codierung ebenfalls erst bei der Ausgabe erfolgen. Allerdings musst du dann beim Eintragen in die Datenbank darauf achten, dass keine SQL-Injections möglich sind, was sowohl durch Prepared Statements als auch durch
    mysql_real_escape_string()
    erledigt werden kann.
  5. t********g

    Meinst du als Nutzer selbst, oder als Webseitenbetreiber? Für letzeres wurde ja bereits etwas genannt und für ersteres: NoScript
  6. Du könntest dein XSS-anfälliges Script posten.
    Deine Dateien könnten auch über andere Wege (z.B. FTP-Zugangsdaten) manipuliert worden sein.
    Grundsätzlich müssen alle eingehenden Daten (auch $_SERVER(), Cookies, etc.) validiert werden.




    Beitrag zuletzt geändert: 18.5.2013 12:32:11 von timebandit
  7. Woran genau erkennt man dass man einen XSS Angriff erlitten hat? Ich dachte man kann nur Cookies damit klauen und solche sachen.
  8. t********g

    Guck mal hier: http://noscript.net/faq#faqsec4
  9. Autor dieses Themas

    onur-yavuz

    onur-yavuz hat kostenlosen Webspace.

    Das Problem habe ich jetzt schon behoben. Falls es euch doch noch interessieren sollte:
    Ich habe selbst ein Gästebuch erstellt, wobei alle Code, wie
    <script>alert("XSS");</script>
    ausgeführt werden.

    Mit folgenden Code habe ich dies geändert:
    $text = htmlentities($text);


    Ihr könnt es auch jetzt ausprobieren auf meiner Website.

    Beitrag zuletzt geändert: 13.7.2013 8:44:03 von onur-yavuz
  10. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!