Also wegen dem script: ich würde es client-seitig machen, weil man da mehr machen kann.
aber serverseitig ist sicher.
deswegen würde ich diese beiden möglichkeiten verbinden.
Anti-XSS
-
synaptic
1. Dein Beispiel ist schlecht, weil da wieder wirklich was kaputt geht.
2. Ich habe mich noch nie auf eine Seite gestürzt, um da irgendwas zu hacken, nie.
3. Ich war hier nicht der Einzige, der eine solche Meinung geäußert hat.@all
Dodo, mit deinem Wohnungs-Beispiel hast du recht, das ist durchaus sehr ähnlich. Dennoch muss man realistisch genug sein, um festzustellen, dass niemand sich vorher meldet, um so etwas kostenfrei zu prüfen. Man muss sich auf jeden Fall nicht extrem ärgern, wenn man auf eine Lücke hingewiesen wird. Und wer Spaß am Hacken hat, soll sich lieber um Software kümmern (CMS testen, Kernel-Exploit schreiben...), als dass er alles an konkreten Seiten testet und dann noch weiter geht, als nötig. "Gelegenheit schafft Diebe" ist hier bestimmt auch anwendbar. Ich würde aber niemanden stark kritisieren, nur weil er hier und da nach Lücken sucht, heißt ja nicht umsonst Gray-Hat. -
@TheUser:
Ich finde es vertretbar, wenn man eine Seite auf Lücken testen möchte und diese dann ihm mitteilt.
Es ist in Ordnung, sofern keine Daten gespeichert werden oder gemerkt.
Aber leider werden die meisten die erhaltenen Daten weiterverwenden und von daher ist die Methode doch nicht okay.Ich habe ebenfalls noch nie ein XSS versucht oder versucht eine Seite zu hacken/cracken.
Bestimmt könnte ich es, doch ich bleibe fern, wie auch bei Suchtmitteln, etc.Von wegen XSS mit Aufforderung:
Ich finds in Ordnung, wenn man anfragt, bitte testet meine Seite auf XSS und es dann tut.
Meiner Meinung nach okay und kann auch helfen. -
haste dir ne freundin programmiert oder wie kommt es dass du mein beispiel tatsächlich verstanden hast?
also für mich is des hier schon ein "auf eine bestimmte seite schlagen"
Das macht man doch aus einer Laune heraus, man stöbert ein wenig und freut sich, wenn man etwas findet.
... Wer macht das denn
und das herunterspielen des schadens anderer ebenfalls
Der Web-Master fühlt sich höchstens ein bisschen doof und ist ein paar Minuten mit PW austauschen beschäftigt. -
Du zitierst alte Posts, Synaptic. Ich habe Dodos Argumente nachvollziehen können und seine Meinung EINGESEHEN!
Klar?
Und was die Freundin angeht: Ein wenig Prädikatenlogik, hab ne Beziehungs-Logik-Datei für SPASS heruntergeladen und damit dann dein Beispiel überprüft. *g*
Ich würde nun zumindest sagen, dass ich mich mit Dodo weitestgehend geeinigt habe, dass das Gray in Gray-Hat eine wichtige Bedeutung hat, nämliche dass es gute und schlechte Seiten gibt, auch wenn sich die Meinungen vmtl. im Einzelfall noch unterscheiden, der Hinweis auf die Praktikabilität bleibt natürlich in meinen Augen gültig, das heißt jedoch nicht, dass ich die hinreichend ausführlich schlechten Seiten nun wieder herunter spielen möchte, ich versuche damit jetzt nicht mehr, solche Handlungen vollständig zu legitimieren. Vllt. bin ich etwas voreingenommen, weil ich doch den ein oder anderen "Gray-Hat" kenne. -
lol alte posts.. da is jetzt der graue gandalf weiß geworden....
und ne meinung einzusehen heisst nicht sie auch anzunehmen oder gar zu übernehmen, aber ich will dir jetzt auch nich zwanghaft unterstellen, dass es sich, meiner meinung nach, nur um lippenbekenntnisse handelt.viel mehr sollten wir auch zurück zum eigentlichen thema des threads gelangen....
-
aber ich will dir jetzt auch nich zwanghaft unterstellen, dass es sich, meiner meinung nach, nur um lippenbekenntnisse handelt.
Na dann ist es ja gut, ich war auch schon mal militanter bei manchen Diskussionen und dass mir das einen guten Denkanstoß gegeben hat in der Richtung Gray-Hat, wird man mir vllt. noch anstandslos abkaufen können.viel mehr sollten wir auch zurück zum eigentlichen thema des threads gelangen....
Okay, wo waren wir stehen geblieben? Wie will man zuverlässig XSS-Attacken erkennen? Ich schreibe zumindest auch nicht so selten irgendwo "<script>", eben hier z.B. -
Okay, wo waren wir stehen geblieben? Wie will man zuverlässig XSS-Attacken erkennen? Ich schreibe zumindest auch nicht so selten irgendwo "<script>", eben hier z.B.
Eben das ist die Frage. Man könnte zum Beispiel davor ein alert ausgeben mit: "Ihr Gästebuch-Eintrag enthält verbotenen Text: "<script>", "</script>". Wollen Sie trotzdem fortfahren?"
Ich denke, ein Benutzer lässt sich abschrecken. Ein Cracker macht weiter. -
Zu unsicher. Lieber eine Falle beim Formular, z.B. etwas womit man meint das Captcha aushebeln zu können oder ähnliches. Das speichert man sich dann die Information.
-
Zu unsicher. Lieber eine Falle beim Formular, z.B. etwas womit man meint das Captcha aushebeln zu können oder ähnliches. Das speichert man sich dann die Information.
hää? beispiel?
-
<spam>
Ich hab nen Bot geschrieben der XSS und Mysqlinjection aufdeckt sofern die Seite nicht Bot aussperrtDer Bot kann natürlich nur unter einfügen eines Codes abgefeuert werden
</spam>
Webentwickler die XSS und MYSQLINJECTION zulassen haben selber schuld
Ich an eurer Stelle würde nicht in Seiten solchen Scripts einfügen, das ist sachbeschädigungmfg
-
-
wir wollen ja nicht cracken, sondern vorbeugen. cracker bekämpfen
Was du willst interessiert keine Sau in dem Fall, wenn du die Seite manipulierst ist es nicht legal selbst wenn dabei einfach ein JS INCLUDE rauskommt ist es strafbar
Du darfst theoretisch nur die Get parameter verändern wenn du vom Webmaster ausdrücklich darum gebitten wurdest
Zu der Sache das es keinen Schaden macht, wenn zb auf google ein alert('Kaut nicht bei T-online ') stehen würde , würde das möglicherweise schon ein paar Millionen für Google kosten
