Matthias Apsel: Sicherheitslücke mit mod Rewrite und Query-String Append

Beitrag lesen

SELF-Forum

Sicherheitslücke mit mod Rewrite und Query-String Append

Matthias Apsel Homepage des Autors
+2 Informationen zu den Bewertungsregeln

Om nah hoo pez nyeetz, hotti!

Mein Artikel hierzu ist praktisch das, was ich hier schon einmal ins Forum gepostet habe.

Es ist von mir getestet, das Problem ist also nachvollziehbar: Hier leckts ;)

Hm. Es ist wahrscheinlich nicht klug, alles an eine index.php weiterzureichen.

Abhilfe könnte

^([\w-]*).html /index.php?page=$1 [QSA,L]

oder auch

^([A-Za-z0-9-]*).html /index.php?page=$1 [QSA,L]

oder erlaubt der Indianer keine Zeichenklassen?

Insgesamt vermisse ich in deinem Artikel Lösungsvorschläge. So ist er nur hilfreich, wenn man sich die Seite tatsächlich durch_arbeitet_. Manche lesen „?page=user&page=admin“, fragen sich „Wer macht denn solch einen Blödsinn“ und verlassen die Seite. Nicht einmal die Information „Nutze besser Perl!“ kommt an.

Matthias

--
Der Unterschied zwischen Java und JavaScript ist größer als der zwischen Yak und Yakari.

Beitrag melden
+2
Informationen zu den Bewertungsregeln
0 19

Sicherheitslücke mit mod Rewrite und Query-String Append

hotti
  • php
  1. 2
    Mitleser
  2. 2
    Matthias Apsel
  3. 5
    1UnitedPower
    1. 0
      hotti
      1. 8
        Sven Rautenberg
      2. 2
        M.
  4. 0

    Sternenstunde

    hotti
    1. 6
      Christian Kruse
    2. 2
      1UnitedPower
    3. 2
      M.
    4. 0
      Matthias Apsel
      • zu diesem forum
  5. 0
    hotti
    1. 1
      1UnitedPower
    2. 0
      M.
      1. 0
        hotti
        1. 1
          M.
          1. 0
            Gunnar Bittersmann
            1. 0
              M.