Hallo SELFcommunity,

vor rund einem Monat wurde bei heise.de über eine Sicherheitslücke auf www.tagesschau.de berichtet. http://www.heise.de/newsticker/data/ju-05.07.02-001/

Es ging dabei über den SSI exec-Befehl, der per Formular übergeben werden konnte und somit zur Ausführung kam. Das sollte aber doch nur möglich sein, wenn der Eingabestring aus dem Formular dazu verwendet wird eine HTML-Seite zu erzeugen, die anschließend noch durch den SSI-Parser wandert, oder?

Diese Lücke sollte nach meinen Überlegungen bei einem CGI-Script (zB Perl) nicht bestehen, dass die HTML-Seite direkt an den Browser sendent. Mache ich einen Denkfehler?

Wäre klasse, wenn ihr mir auf die Sprünge helfen könnte.

Gute N8.