Ich wollte das Thema XSS mal in die Runde werfen, da ja im Thema nebenan, eben das das Problem ist.
Ich frag mich immer "was genau ist XSS?".
DENN:
XSS, wenn ich den Begriff richtig verstehe kann im Prinzip nur über JavaScript geschehen.
Ich kann ja auf jeder Seite einfach, wenn ich wollte auch auf Ayom JavaScript einschleusen.
Aber: das bringt ja erstmal relativ wenig, weil es ja nur ich sehe und ausführe und das nicht permanent verändern kann.
Wo liegt also die Gefahr in XSS?
Gut, Dummen- bzw. Horrorszenario:
ich habe eine JavaScript-Funktion, die per xmlHTTPRequest (AJAX) eine PHP-Datei aufruft, welche per GET-Parameter (seite.php?parameter1=bla&parameter2=bla2, usw.) den in den Parametern stehenden Funktionscode/PHP-Code per eval() ausführt.
Nun hätte jeder gelernte/geübte Webentwickler im Hinterkopf: "Aha, das ist gefährlich, da könnte man die Funktion einfach selber ausführen da JavaScript ja vom Browser ausgeführt wird und nicht vom Server, das ist toll, da kann ich ein bisschen Spaß haben".
Gut, das war jetzt übertrieben, aber das ist ja die eigentliche Gefahr, oder nicht?
Ich mein, ich könnte mir NIE vorstellen, wie man per JavaScript-Code sgn. XSS durchführt und meine Seite hackt, da muss ich ja explizite Sicherheitslücken haben!?
Klärt mich/euch auf
Ich frag mich immer "was genau ist XSS?".
DENN:
XSS, wenn ich den Begriff richtig verstehe kann im Prinzip nur über JavaScript geschehen.
Ich kann ja auf jeder Seite einfach, wenn ich wollte auch auf Ayom JavaScript einschleusen.
Aber: das bringt ja erstmal relativ wenig, weil es ja nur ich sehe und ausführe und das nicht permanent verändern kann.
Wo liegt also die Gefahr in XSS?
Gut, Dummen- bzw. Horrorszenario:
ich habe eine JavaScript-Funktion, die per xmlHTTPRequest (AJAX) eine PHP-Datei aufruft, welche per GET-Parameter (seite.php?parameter1=bla&parameter2=bla2, usw.) den in den Parametern stehenden Funktionscode/PHP-Code per eval() ausführt.
Nun hätte jeder gelernte/geübte Webentwickler im Hinterkopf: "Aha, das ist gefährlich, da könnte man die Funktion einfach selber ausführen da JavaScript ja vom Browser ausgeführt wird und nicht vom Server, das ist toll, da kann ich ein bisschen Spaß haben".
Gut, das war jetzt übertrieben, aber das ist ja die eigentliche Gefahr, oder nicht?
Ich mein, ich könnte mir NIE vorstellen, wie man per JavaScript-Code sgn. XSS durchführt und meine Seite hackt, da muss ich ja explizite Sicherheitslücken haben!?
Klärt mich/euch auf