Tom: Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Beitrag lesen

SELF-Forum

Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Tom Homepage des Autors
Informationen zu den Bewertungsregeln

Hello,

noch eine Ergänzung zur Sicherheit:

Aufgrund dieses Features des Apache-Servers (oder auch vieler anderer Webserver) ist die Variable $_SERVER['PHP_SELF'] ein Angriffsziel für XSS-Angriffe (Cross Site Scripting). Setzt man diese unbehandelt als Actiopn-Attribut eines Formulares ein, lässt sich das Formular "entführen", indem der Bösewicht die Seite über einen entsprend manipulierten Link anbietet.

Man bekommt dann zwar die Originalseite vom Originalserver angezeigt, der Request mit dem (ausgefüllten) Formular landet dann aber auf dem vom Angreifer bestimmten Server.

Daher muss diese Variable also vor Benutzung behandelt werden!

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
Beitrag melden
Informationen zu den Bewertungsregeln
0 19

Wie wird mit $_GET http://tinyurl.com/5kxh ausgelesen?

Dieter
  • php
  1. 2
    Cheatah
    1. 0
      Dieter
      1. 0
        MudGuard
        1. 0
          Dieter
  2. 1
    Tom
    1. 0

      Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

      Tom
      1. 0
        Steffen
        1. 0
          ChrisB
          1. 0
            Steffen
            1. 0
              Vinzenz Mai
              1. 0
                Steffen
                1. 0
                  Tom
                  1. 0
                    Sven Rautenberg
            2. 0
              Steffen
    2. 0
      ChrisB
      1. 0
        dedlfix
        1. 0
          ChrisB
          1. 0
            dedlfix