kostenloser Webspace werbefrei: lima-city

Hackangriff mit unbekanntem code..

lima-cityForumProgrammiersprachenSonstige Programmiersprachen

abfragen angreifer code dank datenbank fenster hinsicht inhalt jemand nachteil sauber sonderzeichen schild schnelle antworten sonderzeichen sorgen test url versuch weiteren gedanken zeichen
  1. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    15:03, 20.2.2012
    Hallo :-)

    Heute morgen, habe ich in den Kommentaren die auf meiner "schlecht kopierten" Website möglich sind, einige seltsame Kommentare von einem gewissen "Dexus" erhalten...
    Die sahen folgendermasen aus:
    < script > alert('xss'); < /script >

    und
    %3Cscript%3Ealert%28%27xss%27%29%3B%3C%2Fscript%3E

    und
    < 123


    Die kommentarfunktion habe ich natürlich so programmmiert, dass alle Sonderzeichen html etc. vorher gefiltert werden und ggf. ersetzt, bzw. entfernt werden, bevor sie in eine Datenbank abgelegt werden.

    Was ist das für ein code, und muss ich mir irgendwelche sorgen machen, bzw. kann ich mich schützen?

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. g******r

    15:12, 20.2.2012
    Hallo,

    Google Fragen hilft: http://de.selfhtml.org/javascript/objekte/window.htm#alert

    Dieses Script giebt lediglich einen Text in einem Dialogfenster aus.

    Beitrag zuletzt geändert: 20.2.2012 15:13:12 von gatterer

  4. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    15:13, 20.2.2012
    paddy-herrmy schrieb:
    Was ist das für ein code, und muss ich mir irgendwelche sorgen machen, bzw. kann ich mich schützen?
    Der Code ist JavaScript-Code, der ein Fenster mit dem Inhalt 'XSS' aufmachen sollte.
    Damit wollte jemand prüfen, ob deine Seite anfällig gegen Cross-Site-Scripting ist. Wenn dabei das gewünschte Fenster aufgeht weiß der Angreifer dass er jedem ein von dir nicht geplantes Script auf die Seite laden kann und damit Clientseitig alles von deiner Seite verändern kann sowie einen Keylogger installieren, um mögliche Passwörter auszulesen.

    Der Angreifer (Dexus) kennt sich aber anscheinend nicht genug mit XSS aus, sonst würde er wissen, dass sein Versuch nicht gerade der Beste weg ist. Der Nachteil an seinem Versuch ist, dass die Meldung sehr auffällig ist und jeden sofort alarmieren sollte.

    Wenn bei dir kein solches Fenster kommt musst du dir auch keine weiteren Gedanken machen.
  5. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    15:17, 20.2.2012
    Danke für die schnelle Antworten^^
    Ich weiss jetzt auch wer es war, und gehe stark davon aus, dass er nix böses im schilde führt..:holy:

    hackyourlife schrieb:
    Der Code ist JavaScript-Code, der ein Fenster mit dem Inhalt 'XSS' aufmachen sollte.
    Damit wollte jemand prüfen, ob deine Seite anfällig gegen Cross-Site-Scripting ist.


    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?

    Beitrag zuletzt geändert: 20.2.2012 15:18:25 von paddy-herrmy

  6. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    15:20, 20.2.2012
    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?
    Hab ich mir gerade angeschaut und SOLLTE gegen XSS sicher sein.

  7. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    15:20, 20.2.2012
    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?

    Vermutlich sollte genau das der Test herausfinden, ob du überall sauber Sonderzeichen in HTML-Entities umwandelst.
    Wenn du das getan hast, und du auch bei deinen Datenbank-Abfragen Injections verhinderst, sollte deine Seite sicher sein.
  8. Autor dieses Themas

    paddy-herrmy

    Kostenloser Webspace von paddy-herrmy

    paddy-herrmy hat kostenlosen Webspace.

    15:24, 20.2.2012
    hackyourlife schrieb:
    paddy-herrmy schrieb:
    wenn die zeichen (wie gesagt) aber vorher alle ordnungsgemäs gefiltert werden (< ausgezausch zu &lt;) bin ich in diesser hinsicht doch auf der sicheren Seite, oder?
    Hab ich mir gerade angeschaut und SOLLTE gegen XSS sicher sein.


    xDD Oh.. dann bist du der "xss" ? xD dann bist jetzt gebannt^^.. dachte, das wär wieder der...

    burgi schrieb:
    Vermutlich sollte genau das der Test herausfinden, ob du überall sauber Sonderzeichen in HTML-Entities umwandelst.
    Wenn du das getan hast, und du auch bei deinen Datenbank-Abfragen Injections verhinderst, sollte deine Seite sicher sein.


    Danke ;-)

  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!