REMOTE_ADDR, HTTP_USER_AGENT ... manipulieren ...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • REMOTE_ADDR, HTTP_USER_AGENT ... manipulieren ...

    hi,

    mal wieder ne frage zur sicherheit
    neulich, hab ich gelesen, das man

    REMOTE_ADDR
    HTTP_USER_AGENT
    REQUEST_URI
    QUERY_STRING
    ...

    manipulieren kann !
    Und so z.b. javascript ausführen könnte.

    Nun wollte ich wissen, ob das stimmt, wenn ja, welche variablen, können so manipuliert werden ?

    Achja, hab mich derweil mit htmlspecialchars, dafür geschützt, sollte ich lieber was anderes machen ?


    THX

  • #2
    naja,
    die genannten Vars liefert ja i.d.R. der Browser und können
    daher "leicht" durch den User manipuliert werden.
    Einzelne Browser bieten bsp.-weise die Option den HTTP_USER_AGENT
    frei einstellen zu können, security-tools verschleiern die ip, usw...
    Und so z.b. javascript ausführen könnte.
    verstehe ich nicht! Nur weil die Umgebungsvars andere Werte haben
    lauft doch kein JS, bestenfalls wird eine 'falsche' Schleife durchlaufen.
    Und überhaupt JS läuft beim Client, also hier beim "Angreifer"!
    hab mich derweil mit htmlspecialchars, dafür geschützt,
    kannst Du mir das mal bitte erklären...
    Gruß
    Thomas

    Kommentar


    • #3
      das mit dem javascript, war jetzt falsch dargestellt, ich meinte hiermit eher cross site scripting.

      schutz: $_SERVER['HTTP_USER_AGENT'] = htmlspecialchars($_SERVER['HTTP_USER_AGENT']);

      so meinte ich das.

      Kommentar


      • #4
        ja, wenn man Usereingaben durch specialchars durlaufen lässt, sind die entschärft.

        Ich wüsste aber nicht, was eine Variable(!) für unfug anrichten könnte. Ich glaube das betrifft in der Regel eher die Funktionen.

        Kommentar


        • #5
          Hab mich mal ein bissle umgeschaut ...

          bei vb z.b. lassen sie die REQUEST_URI und QUERY_STRING, durch ne function laufen, diese ändert z.b. javascript in java script, oder > in >

          bei woltlab lassen sie den user_agent ect. durch htmlspecialchars laufen.


          sowas meinte ich. ich wollte halt wissen, wo dies überrral notwendig wäre ?

          Kommentar


          • #6
            specialchars ist schon okay. das formt dir alles in html-fom um.

            Du solltest das machen, wenn du die Daten auch verwendest. (logisch). Da sonst dein Code ,je nach dem, ganz schnell ein anderer sein kann.

            Kommentar

            Lädt...
            X