Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Sage Danke!
Du findest den Beitrag gut und möchtest Dich beim Autor bedanken? Schicke ihm einen Betrag Deiner Wahl.
Danke sagen!
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
Sicherheitslücke in Microsofts Internet Explorer
Cracker nutzen wieder eine Sicherheitslücke in Microsofts Internet Explorer aus, um über Web-Sites ein Trojanisches Pferd auf die Systeme ihrer Opfer zu schleusen. Dazu verbreiten sie in Chats und Newsgruppen URLs, die auf ihre speziell präparierten Seite ...
Autor :
admin
Kategorie:
Software & Web-Development
Patent auf Multi-Abfrage
Am 6. Mai wurde auf die automatisierte, simultane Mehrfach-Abfrage verschiedener Whois-Datenbanken in den USA ein Patent an VeriSign erteilt worden. Demnach wäre das bei vielen Registrars und Domain-Händlern gebotene Verfahren durch ein Patent geschützt. ...
Autor :
admin
Kategorie:
Software & Web-Development
Die "Green Card" ist ein Flop - viele bereits wieder entlassen
Die 'Green Card' ist ein richtiger Flop. Es gibt nicht nur viel zu wenig Bewerber, sondern die Leute sind teilweise auch ungeeignet. Mittlerweile wurden sogar 500 von 8556 Leute 'vorübergehend arbeitslos'. Geplant war die 'Green Card' für 20000 Compu ...
Autor :
admin
Kategorie:
Software & Web-Development
MariaDB 5.5 veröffentlicht
Die freie MySQL-Alternative MariaDB wurde in der stabilen Version 5.5.23 veröffentlicht und soll einige Verbesserungen gegenüber Oracles Communityversion von MySQL mitbringen. ...
Autor :
admin
Kategorie:
Software & Web-Development
Nimda führt Viren Top Ten des Jahres 2001 an
Sophos: E-Mail-fähige Würmer auf dem Vormarsch Der Antiviren-Spezialist Sophos hat bei der Auswertung seiner Supportstatistik festgestellt, dass 2001 nur zwei einzelne Viren, nämlich Nimda und Sircam, für fast 50 Prozent aller Anrufe beim Sopho ...
Autor :
admin
Kategorie:
Software & Web-Development
Die Tage für PHP 4 sind gezählt
Ab denn 5. Februar 2008 wollen einige prominente Open-Spource-Projekte ihre Unterstützung von PHP 4 einstellen. Typo3, Drupal, phpMyAdmin, Propel, Symfony und andere bald dann noch für PHP 5. Sie hoffen mit ihrem Projekt "Go PHP 5" mehr Menschen zum Um ...
Autor :
admin
Kategorie:
Software & Web-Development
