nicht angemeldet
Hi,
<A HREF="$ENV{'SCRIPT_NAME'}?action=post&pass=karl
das "&" _muss_ HTML-kodiert werden.
<A HREF=http://eineDomain.de/>
Dieser Attributwert _muss_ in Anführungszeichen stehen.
Wie könnte man diese Sischerheitslücke verbessern?
Forcierung eines anderen Referers, etwa durch einen (nicht HTTP-)Redirect. Letzten Endes ist es jedoch immer Sache des Clients, was er als Referer sendet.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes