Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Sage Danke!
Du findest den Beitrag gut und möchtest Dich beim Autor bedanken? Schicke ihm einen Betrag Deiner Wahl.
Danke sagen!
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
Opera 7.03 spricht deutsch
Die neue Version, behebt eine Sicherheitslücke, über die die Experten von Secunia am gestrigen Mittwoch berichtet hatten. Doch nicht nur das, mit dem Opera 7.03 hält die deutsche Sprache im Browser Einzug. Jedoch beschränkt sich die Übersetzung nur au ...
Autor :
admin
Kategorie:
Software & Web-Development
Web.de 9,9 Millionen Euro Verlust bei 4,3 Millionen Euro Umsatz
Die Web.de AG erzielte im zweiten Quartal 2001 Umsatzerlöse in Höhe von 4,3 Millionen Euro und konnte damit erneut die Umsätze im Vergleich zum Vorquartal deutlich erhöhen. Der Halbjahresumsatz stieg im Vergleich zum Vorjahreshalbjahr um 1,7 Millionen Eur ...
Autor :
admin
Kategorie:
Software & Web-Development
Neue MySQL 5.1 Version soll November 2008 erscheinen
Nach diversen Terminverschiebungen für die Veröffentlichung der Version 5.1 solle es nun November 2008 wirklich so weit sein. Wer nicht so lange warten will, kann bereits jetzt die aktuelle 5.1 RC installieren. Laut des MySQLs Produktchefs Urlocker ist ...
Autor :
admin
Kategorie:
Software & Web-Development
Yahoo - AJAX-Bibliothek als Open Source veröffentlicht
Yahoo hat seine JavaScript-Bilbiothek (AJAX) für webbasierte Benutzer-Schnittstellen als Open Source veröffentlicht. Mit den Komponenten 'Yahoo User Interface Library' sollen sich Web-Applikationen im Desktop-Stil samt ereignisgesteuerter Interaktion entw ...
Autor :
admin
Kategorie:
Software & Web-Development
PHP4 final steht zum Download bereit
nun ist es endlich soweit , PHP4 final kann nun auf www.php.net runter geladen werden. Viel spaß beim coden! ...
Autor :
admin
Kategorie:
Software & Web-Development
Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein ...
Autor :
admin
Kategorie:
Software & Web-Development
