nicht angemeldet
Benutzereingaben ans Dokument anhängen
0 
JürgenB
Benutzereingaben ans Dokument anhängen
Moin,
ich habe eine Testseite, die Benutzereingaben per Javascript in einen Bereich einfügt.
Das ist natürlich weder schön, noch stellt es den Abspruch Sinn zu haben.
Totzdem meine Frage: Stellt diese Seite ein Sicherheitsrisiko für meinen Server dar? Theoretisch (!) nicht: PHP wird nicht interpretiert und Javascript wird auch nicht direkt ausgeführt. Und selbst wenn man einen Button erstellt, der die Seite löscht (document.body.innerHTML = "";) passiert nichts.
Ist das korrekt oder übersehe ich da eine Lücke?
Grüße Marco
-
Hallo misterunknown,
Totzdem meine Frage: Stellt diese Seite ein Sicherheitsrisiko für meinen Server dar? Theoretisch (!) nicht: ...
Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.
Gruß, Jürgen
-
Moin,
Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.
Daran hab ich nicht gedacht ;)
Würde das aber nicht auch bei meiner normalen Seite funktionieren, wenn der Angreifer über ein Developer-Werkzeug einen Button ins DOM einhängt?Grüße Marco
-
... ähm, keine Antwort auf Deine Frage, aber: wieso kann ich eigentlich keine deiner Seiten (auch aus den letzten Tagen, wo Du Beispiele auf Deiner Website geparkt hast) öffnen. Geht das nur mir so? Immer kommt ein Timeout.
Wäre interessiert, was das schiefläuft:
Baba-
Moin,
... ähm, keine Antwort auf Deine Frage, aber: wieso kann ich eigentlich keine deiner Seiten (auch aus den letzten Tagen, wo Du Beispiele auf Deiner Website geparkt hast) öffnen. Geht das nur mir so? Immer kommt ein Timeout.
Scheinbar geht das nur dir so. Hast du mal versucht über einen Proxy zu gehen?
Wäre interessiert, was das schiefläuft:
Ja, durchaus. Kommst du eigentlich nur nicht auf die Seiten im test/-Ordner, oder generell nicht auf misterunknown.de?
Grüße Marco
-
Scheinbar geht das nur dir so.
Eyy, coole Seite. I sais "IT's JUST YOU", gemein :)
Hast du mal versucht über einen Proxy zu gehen?
Geht.Kommst du eigentlich nur nicht auf die Seiten im test/-Ordner, oder generell nicht auf misterunknown.de?
Generell nicht. Hat vielleicht mit den Einstellungen meiner Arbeit zu tun. Ich versuche es nochmal von zu HAuse. War nur etwas schade die letzten Tage Deine Links nicht besuchen zu können. Werde es dann mit dem Proxy machen.
Vielen Dank.
Cheers,
Baba-
Moin,
Eyy, coole Seite. I sais "IT's JUST YOU", gemein :)
Ja... Noch so richtig den Finger in die Wunde legen^^
Generell nicht. Hat vielleicht mit den Einstellungen meiner Arbeit zu tun. Ich versuche es nochmal von zu HAuse. War nur etwas schade die letzten Tage Deine Links nicht besuchen zu können.
Ja, kann sein, dass meine Seite irgendwie geblockt wird.
Werde es dann mit dem Proxy machen.
Beachte aber, dass Proxys teilweise die Javascripte von Seiten entfernen ;) Meistens gibt es irgendeine Einstellung dazu.
Grüße Marco
-
-
-
-
-
Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.
Das ist aber keine neu enstandene Sicherheitslücke. Eine DOS-Attacke lässt sich sogar mit der Windows-Konsole ausführen.
-