Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Ratings
Here you can write a comment
Related topics
Sencha Touch HTML5-Framework für iOS und Android
Mit dem Framework Sencha Touch lassen sich schnell Webapplikationen für mobile Endgeräte entwickeln. ...
Autor :
admin
Category:
Miscellaneous
Zivildienst für Computerexperten in Schulen erwogen
Die Bundesregierung prüft, ob Computerspezialisten ihren Zivildienst in Zukunft auch an Schulen ableisten können. Das geht nach einem Bericht der Welt am Sonntag aus einem Briefwechsel des SPD-Finanzexperten Klaus Lennartz mit Bundesfamilienministerin Chr ...
Autor :
admin
Category:
Software & Web-Development
International PHP Conference 2008!
International PHP Conference, 27.-31. Oktober 2008, Rheingoldhalle Mainz Die International PHP Conference war die weltweit erste Konferenz, die sich dem Thema Dynamic Languages annahm. Heute ist die IPC die Referenz, wenn es darum geht, Grundlagen für ...
Autor :
admin
Category:
Software & Web-Development
Telekom darf T-DSL-Preise beibehalten
Die Regulierungsbehörde hält ein Eingreifen bei den Preisen, die die Telekom für T-DSL verlangt, nicht für notwendig. ---> Morpheus ...
Autor :
admin
Category:
Software & Web-Development
Zends PHP-Entwicklungsumgebung unterstützt PHP 5
Zend Technologies hat mit Zend Studio 3.0 eine neue Version seiner integrierten Entwicklungsumgebung für PHP- und JavaScript auf den Markt gebracht. Zend verspricht eine deutlich höhere Geschwindigkeit sowie leistungsstarke Debugger- und Projektmanagement ...
Autor :
admin
Category:
Software & Web-Development
Frohe Weihnachten :)
Wir wünschen unseren Usern eine schöne und erholsame Weihnachtszeit. ...
Autor :
admin
Category:
Software & Web-Development

