Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Say thank you!
You like the article and want to thank the author? Send him an amount of your choice.
Say thanks!
Ratings
Here you can write a comment
Related topics
Wird T-Online Flatrate nun doch eingestellt?
Nach Angaben der Zeitschrift "WirtschaftsWoche" soll die T-Online Flatrate für 79 Mark eingestellt werden. Dabei beruft sich die das Magazin auf Informationen aus der Bonner Konzernzentrale und von der Telekom-Tochter T-Online. Die DSL Flatrate soll erhal ...
Autor :
admin
Category:
Software & Web-Development
T-Online will Geld für Internetangebote
Europas größter Internetdienst T-Online wird ab Anfang nächsten Jahres erstmals auf breiter Front kostenpflichtige Inhalte anbieten. Damit setzt T-Online-Chef Thomas Holtrop sein Vorhaben um, der «Kostenlos- Kultur» im Internet ein Ende zu bereiten, beric ...
Autor :
admin
Category:
Software & Web-Development
PHP 4.0.5 RC 1 released
Heute wurde der Release Candidate (RC) 1 ver 4.0.5 freigegeben. Downloaden könnt Ihr die neue Version unter http://www.php.net Die Windowsfiles unter ftp://ftp.phpuk.org/php_binaries/php-4.0.5RC1-win32.zip ...
Autor :
admin
Category:
Software & Web-Development
Windows Server 2003 schlägt Linux
Die gefunden Ergebnisse sprechen eine deutliche Sprache: Windows und Linux liegen im günstigsten Fall (wenige Clients und acht Prozessoren) etwa gleichauf. Bei einer zweistelligen Anzahl von Clients bewältigt der Windows Server 2003 durchweg einen 30 bis ...
Autor :
admin
Category:
Software & Web-Development
Wurm attackiert PHP-Skripte
Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 ...
Autor :
admin
Category:
Software & Web-Development
PHP Code Camp
Die Entwickler Akademie präsentiert vom 3. bis 6. März 2008 in München das PHP Code Camp. Erleben Sie ein Trainingskonzept, das Ihnen tiefgehend und in besonders innovativer Form vermittelt, wie Sie PHP-Anwendungen professionell entwickeln können. Der Fok ...
Autor :
admin
Category:
Software & Web-Development
