hilfdirselbst.ch
Facebook Twitter gamper-media
Urs Gamper  A  p
Beiträge: 3740
25. Dez 2004, 09:33
Beitrag #1 von 3
Bewertung:
(496 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Cross-Site-Scripting-Schwachstellen auf zahlreichen Webseiten


im neuen bereich HDS-News ist ein artikel über sicherheitslücken mit JavaSripten publiziert: http://www.hilfdirselbst.ch/...php?read_article=21. sicherheitslücken, neuerungen, fehlerupdates, tipps und tricks werden künftig ein bestandteil der HDS-News sein. ein blick darauf lohnt sich immer wieder! die fünf neusten news sind jweils auf der startseite von hds publiziert.
grüessli
urs

-----------------------------------
das arbeiten mit dynamischen seiten
leicht gemacht: http://www.netzprojekte.ch Top
 
X
Markus Walker
Beiträge: 494
28. Dez 2004, 15:26
Beitrag #2 von 3
Beitrag ID: #132785
Bewertung:
(496 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Cross-Site-Scripting-Schwachstellen auf zahlreichen Webseiten


Interessant. Urs schreibt korrekt «...sicherheitslücken mit JavaSripten...». Die eigenlichen Sicherheitslücken werden durch die betreffenden JavaScripts getriggert und nicht verursacht. Die Ganze Problematik ist ja eng mit URLs verbunden. Interessant hierzu sind die betreffenden Sicherheitshinweise in RFC 1738 «Uniform Resource Locators (URL)»
http://www.ietf.org/...1738.txt?number=1738

<QUOTE>
6. Security Considerations

The URL scheme does not in itself pose a security threat. Users
should beware that there is no general guarantee that a URL which at
one time points to a given object continues to do so, and does not
even at some later time point to a different object due to the
movement of objects on servers.

A URL-related security threat is that it is sometimes possible to
construct a URL such that an attempt to perform a harmless idempotent
operation such as the retrieval of the object will in fact cause a
possibly damaging remote operation to occur. The unsafe URL is
typically constructed by specifying a port number other than that
reserved for the network protocol in question. The client
unwittingly contacts a server which is in fact running a different
protocol. The content of the URL contains instructions which when
interpreted according to this other protocol cause an unexpected
operation. An example has been the use of gopher URLs to cause a rude
message to be sent via a SMTP server. Caution should be used when
using any URL which specifies a port number other than the default
for the protocol, especially when it is a number within the reserved
space.

Care should be taken when URLs contain embedded encoded delimiters
for a given protocol (for example, CR and LF characters for telnet
protocols) that these are not unencoded before transmission. This
would violate the protocol but could be used to simulate an extra
operation or parameter, again causing an unexpected and possible
harmful remote operation to be performed.
The use of URLs containing passwords that should be secret is clearly
unwise.
</QUOTE>

als Antwort auf: [#132421] Top
 
Urs Gamper  A  p
Beiträge: 3740
28. Dez 2004, 17:25
Beitrag #3 von 3
Beitrag ID: #132814
Bewertung:
(496 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Cross-Site-Scripting-Schwachstellen auf zahlreichen Webseiten


absolut korrekt. da habe ich mich zu fest vom titel leiten lassen. ich verschiebe den beitrag ins php-forum, wo er vermutlich am ehesten hin gehört.
grüessli
urs
als Antwort auf: [#132421] Top