[HaBo] - Einzelnen Beitrag anzeigen - Fremde URLs in HTTP-Server-Log

**bitmuncher** · 11.11.10, 12:56

Ne XSS kann auch über POST- und GET-Requests an den Webserver diesen dazu bewegen, dass er eine URL aufruft und den Inhalt der aufgerufenen Seite irgendwo einbettet. Vorraussetzung ist natürlich, dass dort ein Skript/eine Webapp ist, das solchen Quatsch macht. Mag sein, dass XSS dafür nicht der richtige Begriff ist, ist mir aber nur als "Form von XSS" bekannt. Eine Joomla-Komponente hatte mal vor einiger Zeit eine solche Lücke, auf die ich auch durch seltsame GET-Requests an den Webserver aufmerksam geworden bin. Bin mir aber nicht mehr sicher, ob der Webserver da mit einer 200 oder mit einem 302, wie beim 302-Hijacking, geantwortet hat.

11.11.10, 12:56	#9 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Ne XSS kann auch über POST- und GET-Requests an den Webserver diesen dazu bewegen, dass er eine URL aufruft und den Inhalt der aufgerufenen Seite irgendwo einbettet. Vorraussetzung ist natürlich, dass dort ein Skript/eine Webapp ist, das solchen Quatsch macht. Mag sein, dass XSS dafür nicht der richtige Begriff ist, ist mir aber nur als "Form von XSS" bekannt. Eine Joomla-Komponente hatte mal vor einiger Zeit eine solche Lücke, auf die ich auch durch seltsame GET-Requests an den Webserver aufmerksam geworden bin. Bin mir aber nicht mehr sicher, ob der Webserver da mit einer 200 oder mit einem 302, wie beim 302-Hijacking, geantwortet hat. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+