Connect failed: Connection timed out

[GastForen Web allgemein Kampf gegen Spam und Terror im Internet

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste

Gefährliche Formulare

r a c
Beiträge gesamt: 955

14. Feb 2006, 14:41
Bewertung:

gelesen: 84953

Beitrag als Lesezeichen
Hallo boskop,

Antwort auf: ...
Sind gewöhnliche Formular (HTML) auch betroffen?
...


Das Formular sendet die Daten an ein CGI (sei das nun Perl, oder PHP oder was auch immer). Die Gefährdung liegt also da und nicht im Formular.

Fehler, wie sie vor Jahren noch ab und an vorkamen:

1. Kombination: Formular mit versteckter Adresse (Beispiel: <input type="hidden" name="mail-irgendwas" value="info@beispiel.org">) und ein CGI, dass diese Adresse auswertet und für den Mailversand verwendet.
Auf den ersten Blick sicher, weil das Formular ja nicht geändert werden kann. Aber, man könnte irgendwo ein beliebiges Formular erstellen, dass seine Daten an das selbe CGI schickt (mit Beispiel:<form action="http://www.beispiel.org/forms.pl" method="post" enctype="multipart/form-data">).
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten auch vom
eigenen Formular kommen.

2. Jemand könnte durch ein Eingabefeld Code einschmuggeln.
= Das ist natürlich schlecht.
- Abhilfe: Das CGI sollte prüfen, ob die Daten keine Sonderzeichen ($ etc.) enthalten.

Bei neuen CGI's sollte das alles (und noch viel mehr) berücksichtigt sein. Bei einem 5 Jahre alten Script vielleicht nicht.Wink

Grüsse r a c

(Dieser Beitrag wurde von r a c am 14. Feb 2006, 14:57 geändert)
Änderungsverlauf:
Beitrag geändert von r a c (Moderator) am 14. Feb 2006, 14:57