Welcome, Guest. Please login or register.
Did you miss your activation email?
May 24, 2012, 07:31:40 PM

Login with username, password and session length
Search:     Advanced search
Interested in joining the WebsiteBaker team?
For more Information read here or on our new website.
155467 Posts in 21707 Topics by 7732 Members
Latest Member: DarrellDD
* Home Help Search Login Register
Pages: [1]   Go Down
Print
Author Topic: GDpics XSS (cross site script) problem  (Read 554 times)
frabene

Offline Offline

Posts: 3
« on: November 21, 2008, 11:34:27 AM »
hallo zusammen,

habe gerade meine erste website mit wb erstellt und online gegeben. dabei auch die gdpics gallery eingebunden. ein bekannter von mir war so nett und hat die site überprüft und dann gemeint, dass es bei der galerie ein cross site scripting problem gibt.
wie kann ich dem abhelfen? ist das problem bekannt und wurde schon gelöst?
vielen DANK für eure hilfe.
pfiat eich gott
Logged
Hans>NULL

Offline Offline

Posts: 1389
« Reply #1 on: November 24, 2008, 01:01:47 AM »
..................

Edit 3: Sollte die Fotogallerie bei www.take-wool.com gemeint sein, so konnte tatsächlich eine Anfälligkeit für "Cross Site Scripting" diagnostiziert werden.
Beanstandet wird: This vulnerability affects /pages/fotogalerie.php.
Details: The GET variable pic has been set to >"><ScRiPt xxx >alert(xxx</ScRiPt>. und allerlei andere Varanten per Java, Flash usw. mit der Empfehlung: Your script should filter metacharacters from user input Wikipedia: Cross Site Scripting

Ob dies tatsächlich eine Gefahrenquelle darstellt, können nur die WB'ler oder die Autoren des Moduls beantworten.

Gruß, Hans>NUL

Edit4: @frabene
Vielleicht mal selbst nachfragen ?  Oder, falls hier keine Antwort kommt,
mal mit einem "XSS attack Tool" selber checken, ob sich was und wie einschleusen läßt? Kostenlose Onlinechecks gibt's im Netz außerdem, wobei ich nicht weiß, ob die was taugen.
« Last Edit: November 24, 2008, 05:17:45 PM by Hans>NULL » Logged
/dev/null Ort ohne Wiederkehr
frabene

Offline Offline

Posts: 3
« Reply #2 on: November 24, 2008, 01:57:51 PM »
hallo hans,
in der tat ist die fotogallerie auf www.take-wool.com gemeint.
DANKE für die tipps. werde das eine oder andere probieren und meine erkenntnisse sicher hier an die anfrage anhängen.
pfiat gott
Logged
Hans>NULL

Offline Offline

Posts: 1389
« Reply #3 on: November 24, 2008, 04:12:26 PM »
Wenn man etwas mehr über XSS bei den unterschiedlichen Browsern erfahren möchte, helfen z.B. auch diese Informationen Wer jetzt richtig kombiniert, darf fleißig ausprobieren/testen. Man kann natürlich auch das zur Info gehörende Test-Paket OWASP CAL9000 Project ausprobieren.
Gruß, Hans>NUL

Edit: Bitte nicht vergssen, es geht um metacharacters from user input. Wenn geklärt ist, wer der USER ist, läßt sich je nach Umstand auch "schon so" sagen ob ein "falscher Alarm" vorliegt. 
« Last Edit: November 24, 2008, 08:05:15 PM by Hans>NULL » Logged
/dev/null Ort ohne Wiederkehr
Hans>NULL

Offline Offline

Posts: 1389
« Reply #4 on: December 02, 2008, 04:09:39 PM »
@frabene
Haben sich neue Erkenntnisse ergeben?
Gruß, Hans>NUL
Logged
/dev/null Ort ohne Wiederkehr
Pages: [1]   Go Up
Print
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2011, Simple Machines Valid XHTML 1.0! Valid CSS!
Impressum & Datenschutz | powered by WebsiteBaker. ©2004–2010 by Website Baker Org e.V. , all rights reserved | Legal Notice & Privacy Policy