Tweet
Ich hätte mal eine Frage. Ich verwende zum Beispiel unten angeführte Funktion um mich vor XSS zu schützen.
Jetzt hab ich aber noch das Problem, dass mein Scanner noch folgende Fehler findet:
Er sagt, es ist nach wie vor möglich in eine GetVariable folgenden Code zu injekten:
a=f11c9b94e53ae8f3fdce12e43763074;
a= 365a572a2d279fa41da7ecaa2d441def;
a= 062225727e1b92e1035d6b86e6b7fd0b;
a=a4cc53e8e6e6b5cbfd01bb13f478bb27;
a=a0a2645bbbb911545d05acc240cd6866;
a=32b3b31f412e59bb12d77ee3bebf154b;
a=b3b4db4142a24b88be07c5c3de01b88f;
a= a7c26c4f9d734978113ddda81c4d0168;
a=3b06f0944f6d236b79731ee53e8999db;
a=884b3565e2cf2b8e9e7143695986af0b;
Jetzt seh ich da aber kein wirkliches Problem soll er halt 32b3b31f412e59bb12d77ee3bebf154b
injekten. So what?
Aber wahrscheinlich ist das irgend ein Hexa Code der sich dann in "format c:" verwandelt.
Meine Fragen:
a) Was bewirkt dieser Code? Kann ich das irgendwie umrechnen?
b) Wie kann ich mich vor solchen Attacken zukünftig schützen ohne jeden einzelnen 32b3b31f412e59bb12d77ee3bebf154b in einer Funktion entfernen zu müssen?
Ich musst die Funktion löschen weil sie überbreite hatte. 
Die Funktion macht nichts anderes als common javascript tags "onmouseover onmouseout usw aus den PUT und GET Variabeln zu filtern.
Jetzt hab ich aber noch das Problem, dass mein Scanner noch folgende Fehler findet:
Er sagt, es ist nach wie vor möglich in eine GetVariable folgenden Code zu injekten:
a=f11c9b94e53ae8f3fdce12e43763074;
a= 365a572a2d279fa41da7ecaa2d441def;
a= 062225727e1b92e1035d6b86e6b7fd0b;
a=a4cc53e8e6e6b5cbfd01bb13f478bb27;
a=a0a2645bbbb911545d05acc240cd6866;
a=32b3b31f412e59bb12d77ee3bebf154b;
a=b3b4db4142a24b88be07c5c3de01b88f;
a= a7c26c4f9d734978113ddda81c4d0168;
a=3b06f0944f6d236b79731ee53e8999db;
a=884b3565e2cf2b8e9e7143695986af0b;
Jetzt seh ich da aber kein wirkliches Problem soll er halt 32b3b31f412e59bb12d77ee3bebf154b
injekten. So what?
Aber wahrscheinlich ist das irgend ein Hexa Code der sich dann in "format c:" verwandelt.
Meine Fragen:
a) Was bewirkt dieser Code? Kann ich das irgendwie umrechnen?
b) Wie kann ich mich vor solchen Attacken zukünftig schützen ohne jeden einzelnen 32b3b31f412e59bb12d77ee3bebf154b in einer Funktion entfernen zu müssen?
PHP-Code:
function RemoveXSS($val) {
allowed
allowed in some inputs
$val = preg_replace('/([\x00-\x08][\x0e-\x20])/', '', $val);
// Funktion musste ich rausnehmen hatte überbreite.
} {
Die Funktion macht nichts anderes als common javascript tags "onmouseover onmouseout usw aus den PUT und GET Variabeln zu filtern.
Moderator
Kommentar