Saturday, October 28, 2006
XSS Angriff auf Eingaben bei Webseiten
Eingaben bei Webseiten:
Es ist egal, ob man nur eine einfache Zeicheneingabe macht, oder Zahlen eingibt, das Eingabefeld allein ist schon eine Gefahr für sich.
Durch die Möglichkeit, Scriptbefehle einzuschleusen, die auf andere Webseiten verweisen, kann ein weniger gutgesinnter Zeitgenosse mit einem Klon die Eingaben in eine eigene Eingabemaske umleiten, und dann für andere Zwecke missbrauchen…
Das Ganze nennt sich XSS-Cross Side Scripting, schlimm deshalb, weil man das Script zwar programmiertechnisch abfangen kann, aber einen wirklichen Schutz nicht gewährleisten kann. Man weiss auch nicht, kommt der Angriff von einem Computer oder von einem Menschen, der hinter einem PC sitzt. In PHP gibt es zwar auch hier Abhilfen, aber man kann nicht garantieren, ob dieser Schutz auch aktiv ist.
Früher(1992) unter Clipper war ich einmal vor die Tatsache gestellt, eine Procedur zu schreiben, das die Fehleingaben der Verkäuferinnen dezimieren sollte. Vorerst sperrte ich einmal gewisse Tastatureingaben, dann, als ich bemerkte, dass Sie versuchten, mit ein paar Mehrkombinationen aus dieser Schleife rauszukommen, griff ich auf den ASCII-Code zurück.
Natürlich wurde die Eingabe-Procedur dadurch um einiges länger, und bei den damaligen Computertypen dauerte das, also schrieb ich mir eine Function, die ich bei Eingaben dann verwendete. Meine Hacker(Verkäuferinnen) gaben mir dadurch die Erkenntnis, dass man wirklich auf alles Rücksicht nehmen muss, auch auf korrekte Eingaben.
Umso schlimmer wird es, wenn man die heutigen Hochsprachen studiert, welche Möglichkeiten einem da gegeben werden.
Es ist egal, ob man nur eine einfache Zeicheneingabe macht, oder Zahlen eingibt, das Eingabefeld allein ist schon eine Gefahr für sich.
Durch die Möglichkeit, Scriptbefehle einzuschleusen, die auf andere Webseiten verweisen, kann ein weniger gutgesinnter Zeitgenosse mit einem Klon die Eingaben in eine eigene Eingabemaske umleiten, und dann für andere Zwecke missbrauchen…
Das Ganze nennt sich XSS-Cross Side Scripting, schlimm deshalb, weil man das Script zwar programmiertechnisch abfangen kann, aber einen wirklichen Schutz nicht gewährleisten kann. Man weiss auch nicht, kommt der Angriff von einem Computer oder von einem Menschen, der hinter einem PC sitzt. In PHP gibt es zwar auch hier Abhilfen, aber man kann nicht garantieren, ob dieser Schutz auch aktiv ist.
Früher(1992) unter Clipper war ich einmal vor die Tatsache gestellt, eine Procedur zu schreiben, das die Fehleingaben der Verkäuferinnen dezimieren sollte. Vorerst sperrte ich einmal gewisse Tastatureingaben, dann, als ich bemerkte, dass Sie versuchten, mit ein paar Mehrkombinationen aus dieser Schleife rauszukommen, griff ich auf den ASCII-Code zurück.
Natürlich wurde die Eingabe-Procedur dadurch um einiges länger, und bei den damaligen Computertypen dauerte das, also schrieb ich mir eine Function, die ich bei Eingaben dann verwendete. Meine Hacker(Verkäuferinnen) gaben mir dadurch die Erkenntnis, dass man wirklich auf alles Rücksicht nehmen muss, auch auf korrekte Eingaben.
Umso schlimmer wird es, wenn man die heutigen Hochsprachen studiert, welche Möglichkeiten einem da gegeben werden.
# posted by sepc @ 11:33 PM 
