XSS Reloaded

• 3. Oktober 2007
• Steffen

Der Kampf gegen die Webseiten-Sicherheitslücken geht weiter – und es sieht nicht besser aus als noch vor gut einem Jahr. Gleich 5 Webseiten habe ich wieder gefunden, die für sogenannte XSS-Angriffe nicht (ausreichend) gesichert waren. Mittels XSS kann man in den meisten Fällen den kompletten Inhalt der Webseite verändern und den Benutzer somit in die Irre führen.

Diesmal handelt es sich um folgende Webseiten:

• hardware-mag.de (Bilderanzeige) [Behoben am 3.10.07]
• hardware-mag.de (Suche) [Behoben am 3.10.07]
• —* [Behoben am 4.10.07]
• k-hardware.de [Behoben am 4.10.07]
• moddingtech.de Immer noch nicht behoben!
• mthn.net [Behoben am 4.10.07]

Auch hier gilt wieder: Alle Beispiele funktionierten am 3. Oktober 2007 in Browsern wie Opera oder Firefox. Diese Beispiele dienen nur der Demonstration, die Webseitenbetreiber wurden sofort nach der Veröffentlichung dieses Beitrages benachrichtigt.

XSS ist weiterhin eine ernstzunehmende Bedrohung und sollte nicht unterschätzt werden. Für dieses Problem gibt es allerdings eine sehr leichte Lösung: Man muss einfach alle vom Benutzer eingegebenen Daten (vor allem bei Suchfunktionen) durch die PHP-Funktion htmlspecialchars filtern. Das wäre zumindest die leichteste Lösung…

* Namen auf Wunsch entfernt

• Trackback
• Permalink
• Computer & Netzwelt, Sicherheit