Zitat:
Zitat von bitmuncher  Ne XSS kann auch über POST- und GET-Requests an den Webserver diesen dazu bewegen, dass er eine URL aufruft und den Inhalt der aufgerufenen Seite irgendwo einbettet. |
An dem Tag, an dem mein
Webserver URLs
aufruft (also als Client mit einem Server HTTP spricht), obwohl er nicht als Proxy konfiguriert ist, schalte ich meinen Webserver ab. Das sollten dann auch alle anderen machen.
Im Ernst: Wovon redest du?
Zitat:
|
Vorraussetzung ist natürlich, dass dort ein Skript/eine Webapp ist, das solchen Quatsch macht.
|
Ja was denn nun? Webserver oder Script/Webapp?
Zitat:
|
Mag sein, dass XSS dafür nicht der richtige Begriff ist, ist mir aber nur als "Form von XSS" bekannt.
|
Es gab/gibt immer mal wieder Webserver/Applikationen, die den Request-String nicht "aufgeräumt" haben, bevor sie ihn im "Location:" Header benutzen. Damit ist
unter Umständen eine XSS möglich. Meinst du das? Aber auch da ruft der
Webserver keine URLs auf. Der Location-Header wird vom
Client interpretiert.
Zitat:
|
Eine Joomla-Komponente hatte mal vor einiger Zeit eine solche Lücke,
|
Gibt es überhaupt Joomla-Kompenenten ohne Lücken?
Zitat:
|
auf die ich auch durch seltsame GET-Requests an den Webserver aufmerksam geworden bin.
|
Was waren denn das für Request? Kannst du dich erinnern bzw. hast du die irgendwo gesichert? Würde mich interessieren.
Micha