Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Ratings
Here you can write a comment
Related topics
WordPress 2.0.1 erschienen
Die freie Blog-Software WordPress bietet in der Version 2.0.1 einige kleinere Änderungen. Es wurden zahlreiche Fehler beseitigt und das Feedback von Nutzern umgesetzt. WordPress 2.0.1 steht unter wordpress.org ab sofort zum Download bereit. http://wo ...
Autor :
admin
Category:
Software & Web-Development
Erste Bücher zu PHP 5 bei Galileo Computing
Bei Galileo Computing sind die ersten Bücher zu PHP 5 erschienen. Drei Bücher und eine Schulungs-CD vermitteln alles, was man benötigt, um auf die neue Version von PHP umzusteigen. Programmierneulinge und Umsteiger werden dabei ebenso bedient wie PHP 4-Ke ...
Autor :
admin
Category:
Software & Web-Development
Smarty 3.0.4 ist fertig
Smarty setzt mit neuem Quellcode auf PHP 5 und verliert die Unterstützung zu PHP 4. ...
Autor :
admin
Category:
Software & Web-Development
PHP 5.2.5 beseitigt nicht nur Fehler
Die neue PHP-Version 5.2.5 beseitigt nicht nur Fehler, sondern bringt auch einige kleinere Verbesserungen mit. Insgesamt wurden 60 Bugs beseitigt und damit auch einige Sicherheitslücken geschlossen. golem.de ...
Autor :
admin
Category:
Software & Web-Development
Macromedia MX Forum
Macromedia MX Forum vom 06. bis 08. Juni 2002 - im MMC-Coloneum Koeln Die Macromedia-Welt trifft sich auf über 2000m" und bietet Ihnen Außergewoehnliches: Wir haben für Sie ein abwechslungsreiches und kurzweiliges Informationsprogramm mit in ...
Autor :
admin
Category:
Software & Web-Development
TraceWatch 0.3 Released
TraceWatch, Real-Time Web-Statistik, ist nach langem Stillstand jetzt in der Version 0.3 verschienen. ...
Autor :
admin
Category:
Miscellaneous