OBJECT 09 SICHERHEITSLÜCKE

Die Sicherheitslücke funktioniert ähnlich wie die von Guninski aufgedeckte Sicherheitslücke. Code der normalerweise auf dem Server ablaufen soll, läuft auf dem Computer eines Angreifers. Dabei kann der Angreifer sämtliche Aktionen ausführen, nur das deine Webseite so gar nicht mehr geschützt ist! Das Problem ist das der Angreifer den direkten Pfad von PHP Dateien kennen muss um eine Injection durchzuführen, was in diesem Fall gewährleistet ist. Da bis jetzt kein Patch vorhanden ist, gebe ich dir hier nur einige Tipps:

Füge dies zur Datei hinzu: window.showHelp("VERZEICHNIS\\\\chm1[1].chm")

Beachte die folgenden Cross-Site Scripting Tipps:

 Cross Site Scripting ist ähnlich wie eine SQL Injection.

Dritte (meistens Hacker) versuchen eine schädliche JavaScript Datei in die Seite einzufügen.

Dies machen Sie häufig bei Gästebüchern, da diese für Besucher der Seite sehbar sind.

Liest der Computer des Besuchers nun was der Hacker geschrieben hat, merkt er, dass es sich um ein Script handelt und führt es aus!

Hier zeige ich dir wie du das verhindern kannst, falls du mehr zum Thema erfahren willst, schau dir doch das Video unterhalb des Textes an.

 

Nun es gibt mehrere Möglichkeiten einen Kommentar usw. so zu verschleiern, das er von keinem Browser als Code identifiziert wird.

Das Problem: Keine bietet 100% Sicherheit!

1.Das "Entenmaul"(<) am Anfang durch ein anderes Zeichen (Bsp: *) ersetzen.

Aus <script wird dann *script.

Dies erfordert allerdings ein sehr kompliziertes stück PHP Code.

2.Alle Daten die eingegeben werden können, sollen in eine TXT Datei geschrieben werden.

Dazu solltest die PHP Write Funktion nutzen. 

 

Die meisten Browser werden nicht herausfinden das es sich in Wirklichkeit um JavaScript handelt!

Ausserdem solltest du die normale ASCII14 Codierung verhindern.

3.Behalte deine Webseite im Auge. Stellst du verdächtige Aktivitäten fest, solltest du sie umgehend Offline nehmen!

4.Nutze all diese Tipps gleichzeitig!

kostenlos anrufen
powered by
branchen-info.net

Sweet24.de - PB

KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Made with ♥ in Bern (Switzerland)!