![[HaBo]](/styles/default/logoklein.png){kind=small}
Hi liebe HaBo User,
ich versuche mich gerade von Grund auf ein wenig in Richtung php Injektion weiterzubilden. daher hab ich fix ein mini Script geschrieben was einfach nur das Eingegebene wieder ausgeben soll.
Also von der Grundidee super XSS anfällig.
zum Code:
<form action="<?php echo $PHP_SELF; ?>" method="post">
<input type="text" name="text">
<br/>
<input type="submit" name="los" value="Berechnen">
</form>
<?php
echo $_POST['text'];
?>
also eine mini-mini-abgespeckte Version von einem unsicheren Gästebuch.
Nun versuche ich alles zu übergeben was sich übergeben lässt.
also html Befehle klappen alle prima (klar warum auch nicht).
allerdings wenn ich
<?php echo "toll"; ?>
übergeben will, zeigt der einfach nichts an, übergeht also den php Befehl einfach.
Nur im Quelltext sieht man:
<?php echo \"toll\"; ?>
Was ich weiter getestet habe sind Eingaben wie:
" dies wird zu \" obwohl ich kein addslashes(); oder ähnliches verwende.
wie man ein Beispiel vorher auch super erkennen kann.
zusätzlich reagiert der auf <?php und <? auch nicht so wie er "soll". Er gibt nichts aus und hinterlässt bloß wieder im Quelltext die Eingabe.
Hat jemand eine Idee woran das liegen könnte? und wenn ja auch eine Idee wie man eine solche "Problematik" umgehen kann?
Hier die Infos zu XAMPP: den ich hab die Vermutung das es irgendwas von XAMPP ist, ist aber nur n Überlegung von mir.
ApacheFriends XAMPP (Basispaket) version 1.7.0
+ Apache 2.2.11
+ MySQL 5.1.30 (Community Server)
+ PHP 5.2.8
Liebe Grüße p-g
ich versuche mich gerade von Grund auf ein wenig in Richtung php Injektion weiterzubilden. daher hab ich fix ein mini Script geschrieben was einfach nur das Eingegebene wieder ausgeben soll.
Also von der Grundidee super XSS anfällig.
zum Code:
<form action="<?php echo $PHP_SELF; ?>" method="post">
<input type="text" name="text">
<br/>
<input type="submit" name="los" value="Berechnen">
</form>
<?php
echo $_POST['text'];
?>
also eine mini-mini-abgespeckte Version von einem unsicheren Gästebuch.
Nun versuche ich alles zu übergeben was sich übergeben lässt.
also html Befehle klappen alle prima (klar warum auch nicht).
allerdings wenn ich
<?php echo "toll"; ?>
übergeben will, zeigt der einfach nichts an, übergeht also den php Befehl einfach.
Nur im Quelltext sieht man:
<?php echo \"toll\"; ?>
Was ich weiter getestet habe sind Eingaben wie:
" dies wird zu \" obwohl ich kein addslashes(); oder ähnliches verwende.
wie man ein Beispiel vorher auch super erkennen kann.
zusätzlich reagiert der auf <?php und <? auch nicht so wie er "soll". Er gibt nichts aus und hinterlässt bloß wieder im Quelltext die Eingabe.
Hat jemand eine Idee woran das liegen könnte? und wenn ja auch eine Idee wie man eine solche "Problematik" umgehen kann?
Hier die Infos zu XAMPP: den ich hab die Vermutung das es irgendwas von XAMPP ist, ist aber nur n Überlegung von mir.
ApacheFriends XAMPP (Basispaket) version 1.7.0
+ Apache 2.2.11
+ MySQL 5.1.30 (Community Server)
+ PHP 5.2.8
Liebe Grüße p-g
