frage zu html code einschleusung ..

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • frage zu html code einschleusung ..

    hi,

    so ... ich wollte mal fragen wieso es eigentlich so gefährlich ist html code oder gar js code zum beispiel in einem forum zuzulassen?

    da es ja eigentlich den server nicht beeinflussen kann - oder?
    ausser man schreibt enorm viel ... code und belastet somit den server ... aber - isses wirklich deshalb ?

    is vll. etwas noobi die frage ... aber habe nun schon auf mehreren großen seiten formulare gefunden welche dann den geparsten HTML code zurueck geben....

    danke für eure antworten - ich hoffe ihr könnt mir helfen !

    THX !


    greetz subabrain!

  • #2
    Eingeschleuster HTML-Code kann einfach nur das Layout zerschießen oder aber fremde Inhalte (per CSS, img, iframe, ...) anzeigen. Beides unschön, letzteres kann arge Konsequenzen für den Betreiber haben.

    Für Javascript-Code gilt im Prinzip das selbe, wobei man mit Javascripten natürlich noch viel leichter viel größeren Unfug treiben kann.
    So könnte man beispielsweise per eingeschleustem Javascript die Zugangsdaten anderer User mitschneiden und mit diesen dann auch Daten auf dem Server verändern (was mit Javascript allein nicht möglich ist).

    Aber beiderlei Code, HTML oder Javascript beginnt mit <. Das kann man mit htmlentities() oder per pedes (Stringersetzung) ausschalten.
    Zuletzt geändert von onemorenerd; 28.05.2006, 01:53.

    Kommentar


    • #3
      ok ... aber ich jetz damit nicht sachen auf dem server ändern oder gar irgendwie server rechte bekommen ?

      evtl. mit ajax oder so ?

      vielen dank für antworten!


      greetz subabrain!

      Kommentar


      • #4
        Original geschrieben von subabrain
        ok ... aber ich jetz damit nicht sachen auf dem server ändern oder gar irgendwie server rechte bekommen ?
        Ähm ... nein! Nicht ohne eine Schwachstelle auf dem Server. Der Punkt ist nämlich, dass eingeschleuster HTML- oder Javascript-Code im Browser des Clients wirkt.
        Klar kann man dort mit Formularen, Cookies oder Ajax spielen, aber damit das auf dem Server Schaden anrichtet, muß der irgendwo verwundbar sein.

        Ist er das, braucht ein Angreifer nicht erst Code in deine Seite einzuschleusen. Er kann die Schwachstellen direkt ausnutzen.

        Kommentar


        • #5
          ok vielen dank onemorenerd !


          gruß subabrain!

          Kommentar

          Lädt...
          X