Cross site scripting?

More
22 Apr 2020 13:11 #7242

Hi Doc,

scheinbar ist das Anzeigenmodul anfällig für Cross site scripting.
Kann ich irgendwo das einfügen von script-code unterbinden?

Grüße

Marc

Please Log in or Create an account to join the conversation.

More
22 Apr 2020 17:30 #7243

Hi Marc,

in der Anfangsphase der ersten KISS Advertiser Version, die noch unter Joomla 1.5 lief, hatten wir mal im Jahr 2010 einen Fall von XSS injection vulnerability. Wir hatten den Fehler behoben, danach war Ruhe.

In den ganzen 10 Jahren danach hatten wir nicht einen einzigen Fall von Cross Seite Scripting, der uns bekannt wurde (bei über 40.000 Installationen hätten wir was merken müssen, selbst wenn uns nicht alle Probleme gemeldet werden).

Da KISS Advertiser aus über 100.000 Programmzeilen besteht, von denen sehr viel Code auch Javascript ist, können wir natürlich nicht 100%ig ausschließen, dass ein böswilliger Angriff mit krimineller Energie auch Schadcode einschleusen kann.

Wir glauben aber, dass der Advertiser relativ sicher ist. Insbesondere die Datenbank ist gut abgesichert, die SQL Abfragen werden vor Übergabe an die Datenbank auf verdächtigen und unerlaubten Code überprüft.


Ob ein Glas halb voll oder halb leer ist, ist mir egal. Hauptsache meine Zähne passen rein.
No matter whether a glass is half full or half empty - as long as my teeth fit in.
Last edit: 22 Apr 2020 17:32 by DocChicago.

Please Log in or Create an account to join the conversation.

More
25 Apr 2020 11:48 #7244

Naja, ich kann z.B. im Anzeigen-Titel Test <script> window.alert("Hallo Welt!"); </script>] eintragen

Please Log in or Create an account to join the conversation.

More
26 Apr 2020 09:31 #7245

Javascript ist eine clientseitige Sprache und wird nur auf dem Rechner des Benutzers ausgeführt, der die Seite gerade geladen hat. Der Server oder die Datenbank sind also nicht unmittelbar gefährdet. JavaScript zuzulassen kann für manche Funktionen sinnvoll sein.

OK, wenn jemand unbedingt seine Originalität mit einem Popup Alert Fenster unter Beweis stellen will, kann das schon etwas nervig sein. Er riskiert dabei allerdings die Löschung des Posts und die Sperrung durch den Admin (so würde ich es jedenfalls machen).

Wir werden deshalb in der nächsten Version von KISS Advertiser die Möglichkeit einbauen, 'verbotene' Begriffe herauszufiltern. In diese Liste kann man dann z. B. das Wort '<script>' eintragen und dann ist Ruhe mit 'Hallo Welt' ;)


Ob ein Glas halb voll oder halb leer ist, ist mir egal. Hauptsache meine Zähne passen rein.
No matter whether a glass is half full or half empty - as long as my teeth fit in.

Please Log in or Create an account to join the conversation.

Powered by Kunena Forum
Cookies make it easier for us to provide you with our services. With the usage of our services you permit us to use cookies.
More information