Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
Druckkosten senken - worauf ist zu achten?
Jeder Freelancer kennt ihn – und hat ihn mit hoher Wahrscheinlichkeit auch im eigenen Büro stehen. Die Rede ist vom Drucker ...
Autor :
admin
Kategorie:
Software & Web-Development
PHP Seminare
Wen es interessiert - habe ich gerade im Netz gefunden : PHP-Seminare im Rhein-Main-Gebiet Lernen Sie dynamische und datenbankgestützte Webauftritte zu realisieren - schnell & einfach. Am 5.6.00 startet der dritte php-basics Workshop ! ...
Autor :
admin
Kategorie:
Software & Web-Development
Napster ab 2. März dicht?
Napster wird nach Informationen des Mp3newswire voraussichtlich am 2. März den Dienst einstellen. Dann nämlich wird die Richterin, die im vergangenen Jahr per Einstweiliger Verfügung die Einstellung verlangt hatte, eine neue Entscheidung verkünden. ...
Autor :
admin
Kategorie:
Software & Web-Development
vBulletin-Germany.org wurde gehacked
Durch eine Sicherheitslücke in vBulletin, hat sich ein unbekannter Angreifer unberechtigten Zugriff auf die Datenbank verschafft. ...
Autor :
admin
Kategorie:
Software & Web-Development
Maklersoftware der IWM Software AG erhält Innovationspreis-IT 2015
In 2015 wurde die IWM Software AG nun schon das zweite Jahr in Folge mit dem Innovationspreis-IT der Initiative Mittelstand ausgezeichnet. Die Jury lobte dabei vor allem den hohen Innovationsgehalt, den Nutzwert und die Ausrichtung auf den Mittelstand. ...
Autor :
admin
Kategorie:
Software & Web-Development
Neue Technologien für den Firefox 3.5
Mozilla eröffnet den Web-Entwickler neue Möglichkeiten. Mit deutlich mehr Funktion und Möglichkeiten kommt die Version 3.5 daher. ...
Autor :
admin
Kategorie:
Dies und Das