Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Sage Danke!
Du findest den Beitrag gut und möchtest Dich beim Autor bedanken? Schicke ihm einen Betrag Deiner Wahl.
Danke sagen!
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
IT-Spezialisten händeringend gesucht
Die IT-Branche ist eine sich noch immer rasant entwickelnde Branche, die mehr und mehr auf das Know-how der Fachleute angewiesen ist. ...
Autor :
admin
Kategorie:
Dies und Das
Diese Software ist bald illegal
Ab August wird jede Art von Software in Deutschland verboten sein, die versucht einen Kopierschutz zu umgehen. Zahlreiche Kopiertools werden damit vom Markt verschwinden. CHIP Online stellt die besten der bald illegalen Programme vor. unter chip.de ist ...
Autor :
admin
Kategorie:
Software & Web-Development
Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein ...
Autor :
admin
Kategorie:
Software & Web-Development
Apache, MySQL und PHP kommen auf S60-Smartphones
Nokia will zukünftig das Smartphone-Betriebssystem S60 mit "PAMP-Stack" ausstatten und hat dazu Apache, MySQL und PHP auf S60 portiert. Mit dem Programmpaket will Nokia auch Module für PHP veröffentlichen, wodurch man Zugriff auf die Kernfunktionen des T ...
Autor :
admin
Kategorie:
Software & Web-Development
PDFlib 5: Neue Funktionen zur automatischen PDF-Generierung
Die PDFlib GmbH veröffentlicht mit PDFlib 5 eine umfangreich erweiterte Version ihrer Programmierbibliothek zur automatisierten und serverzentrierten PDF-Erzeugung und -Verarbeitung in unterschiedlichen Anwendungsumgebungen. Die neue Version unterstüt ...
Autor :
admin
Kategorie:
Software & Web-Development
PHPCon East 2003 in New York City
Auch dieses Jahr findet in New York City die PHPcon 2003 statt. Für alle die zu dieser Zeit in NY sind, empfehlen wir einen Besuch der PHPcon Konferenz. Hier der Originaltext des Veranstalters: Like PHP? Love PHP? LIVE PHP! Last year we launche ...
Autor :
admin
Kategorie:
Software & Web-Development
