O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

874.7 XSS – einige Beispiele
zerdaten werden in die Nutzer- und Bestellungsdatenbank gespeichert,
die ausschließlich im lokalen Netzwerk verfügbar ist. Ebenfalls aus-
schließlich über das LAN loggt sich der Administrator der Shopping-
Site in eine Verwaltungsoberfläche ein – und wird bei Bearbeitung der
gerade angelegten Bestellung mit dem vorher eingefügten XSS ange-
griffen.
Eine solche erfolgreiche Attacke, die besonders mit den Mitteln
von DOM (siehe Abschnitt 4.13) sehr umfangreiche Folgen haben
kann, zeigt, dass Sie bei der Implementierung Ihrer webbasierten
Anwendungen keinen Unterschied zwischen LAN und WAN machen
sollten – beide sind XSS-gefährdet.
4.7 XSS – einige Beispiele
Neben Angriffen auf Datenbanken durch SQL-Injection ist das Cross-
Site Scripting vermutlich der am weitesten verbreitete Angriff über-
haupt. XSS-Lücken in PHP-Software finden sich wie der sprichwörtli-
che Sand am Meer, auch weil XSS die Angriffsklasse ist, die die
schnellsten (und oft auch unterhaltsamsten) Ergebnisse verspricht,
während sie, von einem gutwilligen »Angreifer« durchgeführt, keinen
Schaden anrichtet.
In Foren, IRC-Chaträumen und auf allen Instant-Messaging-Platt-
formen kursieren fast täglich neue interessante »Umgestaltungen«
populärer und weniger beliebter Webseiten mittels JavaScript. Vom
(## <9,6/7//8./883-2>+82</7+>/A+CL.+=3=>+?-21/0I2<./>
Abb. 4–1
XSS im LAN

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required