XSS - Angriffe verhindern
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angriff
anwenden
ausgabe
code
codierung
crew
datenbank
eingegebenen daten
eingehenden daten
folgenden code
ftp
gefunden url
http
kachel
speicherung
statement
tag
text
url
weg
-
Wie kann man eigentlich XSS tag/angriff">Angriffe verhindern. Genau dies ist mir vor 2 Tagen passiert.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Kurz: vor der Ausgabe von durch den Benutzer eingegebenen Daten immer htmlspecialchars() anwenden.
Also z.B. so:<?php echo(htmlspecialchars($_GET['variable']));
Bei der Nutzung einer Datenbank zur Speicherung solcher Daten solltes diese Codierung ebenfalls erst bei der Ausgabe erfolgen. Allerdings musst du dann beim Eintragen in die Datenbank darauf achten, dass keine SQL-Injections möglich sind, was sowohl durch Prepared Statements als auch durch
erledigt werden kann.mysql_real_escape_string()
-
Meinst du als Nutzer selbst, oder als Webseitenbetreiber? Für letzeres wurde ja bereits etwas genannt und für ersteres: NoScript
-
Du könntest dein XSS-anfälliges Script posten.
Deine Dateien könnten auch über andere Wege (z.B. FTP-Zugangsdaten) manipuliert worden sein.
Grundsätzlich müssen alle eingehenden Daten (auch $_SERVER(), Cookies, etc.) validiert werden.
Beitrag zuletzt geändert: 18.5.2013 12:32:11 von timebandit -
Woran genau erkennt man dass man einen XSS Angriff erlitten hat? Ich dachte man kann nur Cookies damit klauen und solche sachen.
-
Guck mal hier: http://noscript.net/faq#faqsec4
-
Das Problem habe ich jetzt schon behoben. Falls es euch doch noch interessieren sollte:
Ich habe selbst ein Gästebuch erstellt, wobei alle Code, wie
ausgeführt werden.<script>alert("XSS");</script>
Mit folgenden Code habe ich dies geändert:
$text = htmlentities($text);
Ihr könnt es auch jetzt ausprobieren auf meiner Website.
Beitrag zuletzt geändert: 13.7.2013 8:44:03 von onur-yavuz -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage