Alexander (HH): XSS Problem! Wie vermeiden?

Beitrag lesen

Moin Moin!

Und ungültige Zeichen ersetzen.

Hier nicht mehr. Wenn Schrott kommt, Annahme verweigern (die(), Status 404, Status 500, whatever). Reparaturversuche machen das Problem oft nur schlimmer und öffnen gelegentlich noch weitere Lücken.

Naja, es muss sich ja nicht immer bösartige Absicht dahinterstecken.

Nein, deswegen muß man ja den Falscheingeber-Angreifer ja auch nicht gleich für Tage per Firewall-Regeln von jedem weiteren Zugriff abschneiden. Eine einfache Fehlerseite (sinngemäß sowas wie >>Ihre Eingabe "80925 Mün" ist keine gültige Postleitzahl.<< bzw. >>Ihre Eingabe "' or '1'='1" ist keine gültige Postleitzahl.<<) reicht ja aus.

Aber eine automatische Reparatur ist bei den Fehlern, die ein User so verbocken kann, ohnehin nicht möglich. Und selbst wenn Du nur ein paar Fehler kompensieren willst, riskierst Du, stattdessen Schrott zu verarbeiten. Und wie schon gesagt, kann dein Reparaturversuch die Sache gelegentlich noch verschlimmern, indem erst ein (weiterer) Fehler in der Reparatur-Routine einen Angriff ermöglicht.

Wenn Du dem Benutzer etwas helfen willst, könntest Du ja einen VORSCHLAG machen, was Du für richtig hältst: >>Meinten Sie vielleicht "80925"?<<

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".