Dave: XSS... Ordner auf fremden Server umbenennen

SELF-Forum

XSS... Ordner auf fremden Server umbenennen

Dave
Informationen zu den Bewertungsregeln

Hi Leute,

Ich habe gehört das man per PHP und XSS Ordner auf fremden Servern umbenennen kann... Wie funktioniert das??? Wie kann man sowas verhindern???

Grüße
Dave

Beitrag melden
Informationen zu den Bewertungsregeln

  1. XSS... Ordner auf fremden Server umbenennen

    Johannes Zeller
    Informationen zu den Bewertungsregeln

    Hallo Dave,

    Ich habe gehört das man per PHP und XSS Ordner auf fremden Servern umbenennen kann... Wie funktioniert das??? Wie kann man sowas verhindern???

    Indem man dafür sorgt, dass XSS (Cross-Site-Scripting) nicht möglich ist.

    Schöne Grüße,

    Johannes

    --
    Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
    ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. XSS... Ordner auf fremden Server umbenennen

      dave
      Informationen zu den Bewertungsregeln

      Hallo nochmal,

      reicht es dazu die include-variable nach "../" und "://" und "www." abzufragen? So kann doch eigentlich nichts anderes includet werden als eine Datei im gleichen Verzeichnis... bzw ein Verzeichnis höher.... Oder????

      Grüße
      Dave

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. XSS... Ordner auf fremden Server umbenennen

        Johannes Zeller
        Informationen zu den Bewertungsregeln

        Hallo dave,

        reicht es dazu die include-variable nach "../" und "://" und "www." abzufragen? So kann doch eigentlich nichts anderes includet werden als eine Datei im gleichen Verzeichnis... bzw ein Verzeichnis höher.... Oder????

        Include-Variable? Darf ich dem entnehmen, dass man deinem Script per Get-Parameter einen Dateinahmen übergibt, den dieses Script dann einbindet? Wenn dem so ist: mach das weg.

        Der richtige Weg wäre in diesem Fall, als Parameter nur einen Schlüssel zu übergeben, und dann den zugehörigen Dateinamen im Script zu ermitteln. Ein assoziatives Array bietet sich in PHP hierbei an.

        Schöne Grüße,

        Johannes

        --
        Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
        ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
        Beitrag melden
        Informationen zu den Bewertungsregeln

        1. XSS... Ordner auf fremden Server umbenennen

          dave
          Informationen zu den Bewertungsregeln

          Hallo,

          also ich geb nur nen Schlüssel. Z.B. "start" dann wird über eine externe Datei per script der include-Pfad ermittelt.... zusätzlich noch eine Abfrage ob die von mir vorhin genannten Zeicheninhalte drin sind. Ist das i.O.????

          ungefähr so...

          <?php
          if (isset($seite)==false){$seite="start";}
          $num=0;
          $row=0;
          $fp = fopen ("index.csv","r");
          while ($data = fgetcsv ($fp,1000000 , "|")){
          $num = count ($data);
          $row++;
          if ($seite==$data[0]){
          if (strpos($data[0], '../')== TRUE || strpos($data[0], '://')== TRUE  || strpos($data[2], '../')== TRUE || strpos($data[2], '://')== TRUE){print "Hier passiert nix";}
          else {include($data[2]);}}} ?>

          Grüße
          Dave

          Beitrag melden
          Informationen zu den Bewertungsregeln