Sven Rautenberg: Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Beitrag lesen

Moin!

8<--
<form action="/tests/simple.php/"><script>alert('xss')</script><foo">
8<--

Dagegen hilft htmlspecialchars(). Aber...

Das geht auch gänzlich ohne JavaScript.
Man kann mittels ['PHP_SELF'] den String dermaßen erweitern, dass das Action-Attribut auf ein anderes Request-Ziel zeigt. Das ist dann die Entführung...

Demo hier:

http://www.thespanner.co.uk/2009/09/25/php-self-return-of-the-slash/

- Sven Rautenberg