Neue PHP-Versionen schließen Sicherheitslöcher
Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer
2004-07-16 00:00:00 2004-07-16 00:00:00 admin
Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.
Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.
heise.de
Say thank you!
You like the article and want to thank the author? Send him an amount of your choice.
Say thanks!
Ratings
Here you can write a comment
Related topics
SSL-Modul für Apache gefixt
Das mod_SSL-Entwicklerteam hat ein Sicherheitsproblem im SSL-Modul für Apache entdeckt und beseitigt. Die neue Version mod_ssl 2.8.19 für Apache 1.3.31 schließt ein Sicherheitsloch in der Stringbehandlung von ssl_log(). Den Entwicklern zufolge lässt ...
Autor :
admin
Category:
Software & Web-Development
Sicherheitslücken in phpBB behoben
Die phpBB-Entwickler schließen mit der Version 2.0.22 der Forensoftware einige Sicherheitslücken. Zudem gab es noch einige kosmetische Fehlerbereinigungen. Die Entwickler empfehlen allen Nutzern, phpBB baldmöglichst zu aktualisieren. ...
Autor :
admin
Category:
Software & Web-Development
PHP hates me - Der PHP Blog
Die deutschsprachige PHP Blogging Szene ist relativ überschaubar. Aus diesem Grund möchten wir euch heute den relativ jungen und erfolgreichen Blog phphatesme vorstellen. ...
Autor :
phphatesme
Category:
Miscellaneous
Deutsches Netscape 6.2 für Windows ist da
Ab sofort steht die neue Version 6.2 des Browsers Netscape zum Download bereit. Die Windows-Version ist bereits in deutscher Sprache erhältlich, während die Fassungen für Linux und MacOS vorerst nur in englischer Sprache angeboten werden. http://home.n ...
Autor :
admin
Category:
Software & Web-Development
EnterpriseDB will Oracle auf Basis von PostgreSQL Konkurrenz machen
Mit EnterpriseDB meldet sich ein neuer, ambitionierter Mitspieler im Markt für Datenbank-Management-Systeme. Mit dem sofort als Beta-Version verfügbaren Produkt EnterpriseDB 2005 (EDB2005) auf Basis der Open-Source-Software PostgreSQL will EnterpriseDB ei ...
Autor :
admin
Category:
Software & Web-Development
PHP-Framework für RSS-Feeds als Open Source
Das Bottroper Softwarehaus Dynamic Networks hat sein PHP-Framework zum Erzeugen von RSS-2.0-Feeds unter der GNU General Public License (GPL) freigegeben. Die Klassenbibliothek rssFramework arbeitet mit XSLT-Transformationen, um PHP-Objekte in einen RSS-Fe ...
Autor :
admin
Category:
Software & Web-Development
