Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Ratings
Here you can write a comment
Related topics
Nun doch das Ende der DSL-Flatrate?
Laut einer Stellungnahme eines Telekom Mitarbeiters, wird die DSL-Flatrate nun bald doch schon einigen neuen Tarifen weichen. Herr Peter Kespohl erwähnte, dass es einen Tarifwechsel geben wird, wobei schon folgende Preismodelle bekannt sein sollen: 1 ...
Autor :
admin
Category:
Software & Web-Development
MemSQL wandelt SQL-Anfragen in C++-Code
30% schneller und mySQL kompatibel soll die MemSQL Datenbank gegenüber mySQL sein. ...
Autor :
admin
Category:
Software & Web-Development
Web.de 9,9 Millionen Euro Verlust bei 4,3 Millionen Euro Umsatz
Die Web.de AG erzielte im zweiten Quartal 2001 Umsatzerlöse in Höhe von 4,3 Millionen Euro und konnte damit erneut die Umsätze im Vergleich zum Vorquartal deutlich erhöhen. Der Halbjahresumsatz stieg im Vergleich zum Vorjahreshalbjahr um 1,7 Millionen Eur ...
Autor :
admin
Category:
Software & Web-Development
phpMyAdmin 2.2.0rc2
Die Version von phpMyAdmin ist als Release Candidate 2 verfügbar. Optische sowie eine vereinfachte Bedinungen sind eininge der neuen Features. http://phpmyadmin.sourceforge.net/download.html ...
Autor :
admin
Category:
Software & Web-Development
Google+ Fanpage
Google hat ihre Version einer “Fanpage“ freigegeben - wir sind dabei ...
Autor :
admin
Category:
Miscellaneous
TraceWatch 0.3 Released
TraceWatch, Real-Time Web-Statistik, ist nach langem Stillstand jetzt in der Version 0.3 verschienen. ...
Autor :
admin
Category:
Miscellaneous