Thomas Schmieder: Gefahren bei header("Location: ".$getvar)

SELF-Forum

Gefahren bei header("Location: ".$getvar)

Thomas Schmieder Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo,

welche Sicherheitslücken reiße ich auf, wenn ich einen Location-Header aus einer Get-Variable oder einer Post-Variable lade?

header("Location: ".$_GET["referer"])

Kann man Bedenkenlos machen oder könnte man über den HTTP-Header irgendwas schlimmes anrichten?

Liebe Grüße aus http://www.braunschweig.de

Tom

--
Intelligenz ist die Fähigkeit, aus Fehlern Anderer zu lernen und Mut die, eigene zu machen.
Beitrag melden
Informationen zu den Bewertungsregeln

  1. Gefahren bei header("Location: ".$getvar)

    Christian Kruse Homepage des Autors
    Informationen zu den Bewertungsregeln

    Hallo Thomas,

    welche Sicherheitslücken reiße ich auf, wenn ich einen
    Location-Header aus einer Get-Variable oder einer
    Post-Variable lade?

    Keine Groesseren. Du laeufst halt in Gefahr, dass der Client
    die Anfrage nicht mehr versteht. Deshalb (wie immer):
    validiere den Parameter vorher.

    Kann man Bedenkenlos machen oder könnte man über den
    HTTP-Header irgendwas schlimmes anrichten?

    Nein, IMHO nicht.

    Gruesse,
     CK

    --
    http://cforum.teamone.de/
    http://wishlist.tetekum.de/
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Gefahren bei header("Location: ".$getvar)

      Thomas Schmieder Homepage des Autors
      Informationen zu den Bewertungsregeln

      Hi Christian,

      Kann man Bedenkenlos machen oder könnte man über den
      HTTP-Header irgendwas schlimmes anrichten?

      Nein, IMHO nicht.

      Danke.

      Liebe Grüße aus http://www.braunschweig.de

      Tom

      --
      Intelligenz ist die Fähigkeit, aus Fehlern Anderer zu lernen und Mut die, eigene zu machen.
      Beitrag melden
      Informationen zu den Bewertungsregeln