Steffen: Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Beitrag lesen

SELF-Forum

Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Steffen
Informationen zu den Bewertungsregeln

Hi,

ich glaube wir haben uns falsch verstanden.

Zitat von Tom:
8<--
Aufgrund dieses Features des Apache-Servers (oder auch vieler anderer Webserver) ist die Variable $_SERVER['PHP_SELF'] ein Angriffsziel für XSS-Angriffe (Cross Site Scripting). Setzt man diese unbehandelt als Actiopn-Attribut eines Formulares ein, lässt sich das Formular "entführen", indem der Bösewicht die Seite über einen entsprend manipulierten Link anbietet.
8<--

Darauf hat sich meine Frage bezogen und $_SERVER['PHP_SELF'] ist keine "incoming data"?!
Deswegen verstehe ich Toms Sicherheitsrisiko nicht.

MfG

  • Steffen
Beitrag melden
Informationen zu den Bewertungsregeln
0 19

Wie wird mit $_GET http://tinyurl.com/5kxh ausgelesen?

Dieter
  • php
  1. 2
    Cheatah
    1. 0
      Dieter
      1. 0
        MudGuard
        1. 0
          Dieter
  2. 1
    Tom
    1. 0

      Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

      Tom
      1. 0
        Steffen
        1. 0
          ChrisB
          1. 0
            Steffen
            1. 0
              Vinzenz Mai
              1. 0
                Steffen
                1. 0
                  Tom
                  1. 0
                    Sven Rautenberg
            2. 0
              Steffen
    2. 0
      ChrisB
      1. 0
        dedlfix
        1. 0
          ChrisB
          1. 0
            dedlfix