Michael Bischof wrote:
Wer von Euch kann mal (Laien-readable) beschreiben wie Cross Scripting
funktioniert (die Seiten der Bundesregierung selber sind dafür anfällig, wie
durch diesen fragFINN-Skandal aufgedeckt wurde!) oder mindestens Hinweise auf
Seiten geben, welche das genau beschreiben
Cros-Site-Scripting ist - meines Wissens nach (und ja, man korrigiere
mich, wenn ich mich irre ;-)) - wenn
jemand (ich nenne Ihn mal Angreifer) Code in z.B. eine Website
einschleust, um damit einem andern
(ich nenne Ihn mal Besucher) Informationen zu entlocken oder um "Dinge
und Sachen" mit seinem PC zu machen.
Wenn du z.B. eine Website mit Gästebuch betreibst, die HTML-Tags nicht
abfängt, kann es schnell
passieren, dass ein findiger Angreifer dort z.B. Javascript-Code als
"Eintrag" hinterlegt, der - von
einem Besucher betrachtet - dann Sachen ausführt. Etwas harmloses wäre
z.B. deine Monitor-Auflösung
abzufragen und per Mail irgendwohin zu schicken. Böser wäre dann wenn
der Angreifer (noch nicht gefixte)
Active-X-Sicherheitslöcher ausnutzt und damit kontrolle über dem
Besucher seinen
Bugverseuchten-Internet-Explorer-Windows-PC erlangt. *SCNR*
Wie gesagt, falls ich das falsch interpretiert haben sollte - Asche auf
mein Haupt - aber so habe ich das mal immer verstanden :-)
Mehr Infos dazu - wie meistens - auf Wikipedia:
http://de.wikipedia.org/wiki/Cross-Site_Scripting
Grüße und allen ein frohes neues Jahr,
Peter
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
