Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Ratings
Here you can write a comment
Related topics
Maguma Workbench Versteigerung auf EBAY zugunsten der Tsunami-Opfer
Nach der schrecklichen Flutkatastrophe in Asien hatte das Maguma Team die Weihnachtsaktion seiner modularen PHP Entwicklungsumgebung, Maguma Workbench, zeitlich verlängert, um den gesamten Erlös dieser Aktion den Opfern in Asien zu kommen zu lassen. An ...

Autor :
admin
Category:
Software & Web-Development
Das PHP CMS Joomla! v 1.5.17 ist da
Wir vor ein paar Tagen angekündigt, ist jetzt Joomla! 1.5.17 erschienen. ...

Autor :
admin
Category:
Miscellaneous
MySQL 4.1 ist fertig
MySQL hat seine gleichnamige Open-Source-Datenbank jetzt in der Version 4.1 für den produktiven Einsatz freigegeben. Damit liegt MySQL 4.1 jetzt in einer stabilen Version vor. Wichtigste Neuerung in MySQL 4.1 ist vor allem die Einführung von logisch versc ...

Autor :
admin
Category:
Software & Web-Development
.info mit Startschwierigkeiten
Das Afilias-Konsortium, das in diesem Sommer mit .info als der ersten von sieben neuen Top Level Domains an den Start gehen will, hat noch einmal auf die Bremse getreten. Einen Monat später als ursprünglich geplant beginnt die so genannte Sunrise-Period, ...

Autor :
admin
Category:
Software & Web-Development
Skype als Trojaner?
Skype soll BIOS-Daten an die Skype-Server versenden. Dieses hat eine Programmiererin die nur unter dem Pseudonym "myria" bekannt ist, in Ihrem Blog veröffentlicht. Dieses hat die Programmiererin durch Zufall bei experimentieren mit einem 64-bittigen Windo ...

Autor :
admin
Category:
Software & Web-Development
PHP 5 Release Candidate 1 Released!
Das erste RC1 der neuen PHP5 Version ist da. Laut dem PHP- Entwicklungsteam ist diese Version stabil genug um die ersten Gehversuche vornehmen zu können. Für den produktiven Einsatz sollte diese Version jedoch nicht verwendet werden. ChangeLog: http: ...

Autor :
admin
Category:
Software & Web-Development