Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Say thank you!
You like the article and want to thank the author? Send him an amount of your choice.
Say thanks!
Ratings
Here you can write a comment
Related topics
Erste Bücher zu PHP 5 bei Galileo Computing
Bei Galileo Computing sind die ersten Bücher zu PHP 5 erschienen. Drei Bücher und eine Schulungs-CD vermitteln alles, was man benötigt, um auf die neue Version von PHP umzusteigen. Programmierneulinge und Umsteiger werden dabei ebenso bedient wie PHP 4-Ke ...
Autor :
admin
Category:
Software & Web-Development
Schüler wird verdächtigt, den Sasser-Wurm programmiert zu haben
Wie das Landeskriminalamt in Hannover heute Morgen mitteilte, wurde gestern der mutmaßliche Programmierer des Internet-Wurms Sasser festgenommen. Es handele sich um einen 18-jährigen Schüler aus Rotenburg (Wümme) in Niedersachsen, der Rahmen eines Verfahr ...
Autor :
admin
Category:
Software & Web-Development
Bundestag beschließt Schutz gegen Missbrauch von 0190-Nummern
Einstimmig hat der Bundestag heute ein Gesetz beschlossen, mit welchem Verbraucher vor dem Missbrauch von 0190- und 0900-Nummern geschützt werden sollen. dieses Gesetz sei wichtig, betontenPolitiker aller Parteien, um die Rechte der Verbraucher zu wahren. ...
Autor :
admin
Category:
Software & Web-Development
PHP-Entwicklungsumgebung Zend Studio 5 veröffentlicht
Zend hat seine PHP-Entwicklungsumgebung Zend Studio kräftig aufgemöbelt. In der Version 5 helfen neue Wizards beim Erstellen von Web Services, etwa indem sie aus den PHP-Quellen WSDL-Dateien (Web Services Description Language) erzeugen können, oder indem ...
Autor :
admin
Category:
Software & Web-Development
Internet Explorer setzt sich bei deutschsprachigen Surfern durch
Rund 90,8 Prozent der deutschen Web-Surfer nutzen den Internet Explorer von Microsoft. Dies hat die Unternehmensberatung Fittkau & Maaß während ihrer WWW-Benutzeranalyse W3B herausgefunden, an der 99.000 Internetnutzer teilnahmen. 7,7 Prozent der Surf ...
Autor :
admin
Category:
Software & Web-Development
Erneut Sicherheitslücke in sendmail
Erneut ist eine kritische Sicherheitslücke in sendmail bekannt geworden. Alle Versionen der Open-Source-Variante des Message Transfer Agent (MTA) vor Version 8.12.9 sowie alle kommerziellen sendmail-Ausgaben für Unix und Windows weisen eine Schwachstelle ...
Autor :
admin
Category:
Software & Web-Development
