frage zu html code einschleusung ..

**onemorenerd** · 28.05.2006, 00:50

Eingeschleuster HTML-Code kann einfach nur das Layout zerschießen oder aber fremde Inhalte (per CSS, img, iframe, ...) anzeigen. Beides unschön, letzteres kann arge Konsequenzen für den Betreiber haben.

Für Javascript-Code gilt im Prinzip das selbe, wobei man mit Javascripten natürlich noch viel leichter viel größeren Unfug treiben kann.
So könnte man beispielsweise per eingeschleustem Javascript die Zugangsdaten anderer User mitschneiden und mit diesen dann auch Daten auf dem Server verändern (was mit Javascript allein nicht möglich ist).

Aber beiderlei Code, HTML oder Javascript beginnt mit <. Das kann man mit htmlentities() oder per pedes (Stringersetzung) ausschalten.

**subabrain** · 28.05.2006, 11:37

ok ... aber ich jetz damit nicht sachen auf dem server ändern oder gar irgendwie server rechte bekommen ?

evtl. mit ajax oder so ?

vielen dank für antworten!

greetz subabrain!

**onemorenerd** · 28.05.2006, 11:53

Original geschrieben von subabrain
ok ... aber ich jetz damit nicht sachen auf dem server ändern oder gar irgendwie server rechte bekommen ?

Ähm ... nein! Nicht ohne eine Schwachstelle auf dem Server. Der Punkt ist nämlich, dass eingeschleuster HTML- oder Javascript-Code im Browser des Clients wirkt.
Klar kann man dort mit Formularen, Cookies oder Ajax spielen, aber damit das auf dem Server Schaden anrichtet, muß der irgendwo verwundbar sein.

Ist er das, braucht ein Angreifer nicht erst Code in deine Seite einzuschleusen. Er kann die Schwachstellen direkt ausnutzen.

**subabrain** · 28.05.2006, 12:07

ok vielen dank onemorenerd !

gruß subabrain!

frage zu html code einschleusung ..