BBCode - welcher Parser?

**wahsaga** · 12.02.2007, 08:42

Re: BBCode - welcher Parser?

Was gefällt dir an Christians Parser nicht - in Punkto Sicherheit?

**nobody2** · 12.02.2007, 09:18

Naja, wenn ich mir unter http://ha.ckers.org/xss.html das XSS Cheat Sheet anschaue dann gibt es ja unzählige XSS attacken. Soweit ich das festgestellt habe, hat der BBCode Parser von Chrisitian Seiler keinen XSS Filter. Es besteht natürlich die Möglichkeit einen XSS-Filter mittels einer Callback funktion durchlaufen zu lassen (was ich wahrscheinlich auch machen werde). Praktischer wäre natürlich ein BBCode Parser welcher einen guten XSS-Filter standartmäßig hat.

**wahsaga** · 12.02.2007, 09:29

Original geschrieben von nobody2
Naja, wenn ich mir unter http://ha.ckers.org/xss.html das XSS Cheat Sheet anschaue dann gibt es ja unzählige XSS attacken.

Das Prinzip ist bei allen gleich - es wird etwas in einen Kontext gebracht, ohne es Kontext-spezifisch zu behandeln.

Soweit ich das festgestellt habe, hat der BBCode Parser von Chrisitian Seiler keinen XSS Filter.

Wozu auch?
Wenn ich (X)HTML damit erzeugen will, nutze ich htmlspecialchars, so wie es die Beispiele zeigen, und gut is'.

Es besteht natürlich die Möglichkeit einen XSS-Filter mittels einer Callback funktion durchlaufen zu lassen (was ich wahrscheinlich auch machen werde). Praktischer wäre natürlich ein BBCode Parser welcher einen guten XSS-Filter standartmäßig hat.

Ich verstehe nicht, wo du da noch meinst "filtern" zu müssen.

**nobody2** · 12.02.2007, 10:05

Der Internet Explorer führt aber vor dem ausführen von JavaScript eine UTF-8 Dekodierung durch, wodurch das Javascript wieder in den ursprünglichen zustand versetzt wird. (laut "PHP-Sicherheit" von Christopher Kunz - falls du das Buch auch hast)

**unset** · 12.02.2007, 10:48

Original geschrieben von nobody2
Der Internet Explorer führt aber vor dem ausführen von JavaScript eine UTF-8 Dekodierung durch, wodurch das Javascript wieder in den ursprünglichen zustand versetzt wird. (laut "PHP-Sicherheit" von Christopher Kunz - falls du das Buch auch hast)

Preisfrage: Wie hast du UTF-8 und htmlspecialchars in Verbindung gebracht?

**wahsaga** · 12.02.2007, 11:16

Original geschrieben von nobody2
Der Internet Explorer führt aber vor dem ausführen von JavaScript eine UTF-8 Dekodierung durch, wodurch das Javascript wieder in den ursprünglichen zustand versetzt wird.

Was soll da dekodiert werden?
Und was meinst du mit ursprünglichem Zustand?

**nobody2** · 12.02.2007, 12:04

Auszug aus dem Buch:

Mit UTF-8-Kodierung lassen sich Filter, die afu Ausdrücke wie >javascript< prüfen, austricksen. Der String >javascript< könnte komplett in UTF-8 kodiert werden und würde somit zu ....(uft-8-Zeichenkette). - PHP erkennt diese Zeichenkette nicht und kann daher mit einem regulären Ausruck o.Ä. nicht gegen sie vorgehen. Der Internet Explorer führt jedoch vor der Ausführung von JavaScript eine UTF-8-Dekodierung durch - der kodierte String wird wieder zum ursprünglichen >javascript< und kann dann ausgeführt werden. Auch teilweise kodierte Zeichenketten wie etwa >javascript< werden vom IE in den korrekten Ursprung zurückübersetzt....

@unset: ich nutze htmlentities und gebe auch die UTF-8 Zeichenkodierung an, da ich diese benötige. Bei htmlspecialchars müsste ich auch die UTF-8 Zeichkodierung angeben, da der default-charset ISO-8859-1 ist.

**unset** · 12.02.2007, 13:07

Wenn durch htmlspecialchars Spitzklammern in Entities umgewandelt werden, wird auch der IE diesen Bereich nicht mehr als Javascript interpretieren und somit auch nicht ausführen, oder?

BBCode - welcher Parser?