18 Reaktionen zu “Cross-Site Scripting (XSS) erfolgreich in Aktion”

Kommentare abonnieren (RSS) oder TrackBack URL

Finde ich super spannend. Grade da du ja jetzt mit im Security Team sitzt ist es für außen stehende eine Super Sache, wenn du auf diese Art und Weise einen Einblick gibst.

Tim Lochmüller am 27. November 2009 um 16:32

sehr spannend – weiter machen – guter mann!

harry am 27. November 2009 um 16:32

Japp sehr schön zu lesen. Das mit der Ausnutzung der lokalen JS Library ist für mich auch neu.
Weiter so…

Alex Kellner am 27. November 2009 um 16:42

Super Artikel, Georg! Ich denke, man kann nicht oft genug solche Sachen thematisieren, vor allem, wenn die Lösung so einfach ist!

Marcus Schwemer am 27. November 2009 um 17:09

Sher gut zu lesen, spannender Praxisbericht. Mit nicht zuviel Zeilen das ganze schön erklärt. Ja, mehr davon 🙂

Thomas am 27. November 2009 um 17:23

Hallo Georg, sehr schöner Artikel.

Nicht zu vergessen ist, dass htmlspecialchars() allein nicht unbedingt ausreicht. Bei Links z.B. reicht ein einfaches „javascript:“ aus.

Ein sehr informativer Artikel namens „XSS – Cross-Site Scripting“ findet sich bei hakin9 (http://hakin9.org/de/magazine/article/2), allerdings schon ein bißchen älter.

Ich bin schon auf die weiteren Berichte von dir gespannt.

Grüße

Andreas Becker am 27. November 2009 um 17:43

das ist richtig – es kommt natürlich immer sehr auf den kontext an!

auch die Funktion t3lib_div::sanitizeLocalUrl() kann sehr hilfreich sein

Georg Ringer am 27. November 2009 um 17:49

Hi Georg, ja finde ich auch eine sehr interessante Thematik.
Besonders dank Twitter und der allgemeinen Freude mit den URL-Verkürzungsdiensten schaut mittlerweile ja kaum jemand mehr auf die URL – umso leichter nun da heimlich Parameter einzuschleußen.

Steffen Gebert am 27. November 2009 um 18:51

Super Artikel, aber vor allem super das du dich so für die TYPO3 Community einsetzt.
Es würde mich sehr freuen wenn du aus deiner Erfahrung aus dem Securityteam die häufigsten auftretenden Fehler zeigen könntest und auch wie man diese vermeiden könnte, in der Hoffnung diese zu minimieren.

Florian Stanek am 27. November 2009 um 19:02

Hey Georg! Danke für diesen Beitrag! So verständlich bekam ich es noch nirgends erklärt. Die große Seite von der die Rede war – hat die mit Skifahren zutun?

liegrü
jousch

jousch am 28. November 2009 um 08:17

… auf jeden Fall ein wichtiges und spannendes Thema.
Je mehr TYPO3’ler über dieses Thema aufgeklärt sind, desto besser. Kann Qualität der TYPO3-Welt nur verbessern.

MgW am 28. November 2009 um 10:59

Sicherheit ist IMMER relevant und lesenswert, wobei das natürlich ein sehr basic Artikel zum Thema war.

Wenn jemand mal auf seinem Testsystem wüten will: http://ha.ckers.org/xss.html

Außerdem kann ich die T3 Ext PHPIDS empfehlen.

Felix Nagel am 30. November 2009 um 16:02

@ Felix: naja irgendwo muss man ja mal anfangen, und gerade die simplen Beispiele sind schon mal sehr ok, Lücken schnell zu finden und die bergen IMO auch die größte Gefahr

Georg Ringer am 30. November 2009 um 16:25

Gutes Thema, schneller Anstz auch für unwissende

Marius am 30. November 2009 um 18:30

Ich beschäftige mich seit gut einem halben Jahr mit Websecurity. Es ist ein Fehler nur auf htmlspecialchars() zu setzen, und ist mit unter sogar gefährlich, da die Funktion nicht das macht, was von Ihr erwartet wird.

manuel am 01. Dezember 2009 um 11:51

wie gesagt, es kommt immer sehr auf den kontext drauf an und der artikel soll mal grundsätzlich tipps geben. du bist natürlich herzlich eingeladen einen weiteren als gast (-oder dauer) autor hier schreiben! Wär das möglich?

Georg Ringer am 01. Dezember 2009 um 12:35
Trackbacks & Pingbacks

[…] Dieser Eintrag wurde auf Twitter von Florian Stanek und Alex Kellner, typo3blogger.de erwähnt. typo3blogger.de sagte: XSS erfolgreich in Aktion… Möglichkeiten verstehen, verhindern und melden 😉 http://digg.com/u1HAbI […]

Pingback von Tweets die Cross-Site Scripting (XSS) erfolgreich in Aktion | TYPO3 Blogger erwähnt -- Topsy.com am 27. November 2009 um 19:07

[…] dem Artikel über Cross-Site Scripting (XSS) folgt hier der Bericht über eine ebenfalls oft genutzte Schwachstelle und zwar SQL Injections. Im […]

Kategorien

Archiv