[DerMalle]

Hi,
ich möchte gerne eine XSS Lücke innerhalb einer Semesterarbeit praktisch erläutern und auch kurz vorstellen. Ich habe mir jetzt folgendes vorgestellt.

Habe mir jetzt einfach ein Formular geschrieben:
<html>
<head>
</head>
<body>
<form action="xss.php" method="get">
<p>Vorname:<br><input name="vorname" type="text"></p>
<input type="submit" value=" Absenden ">
</form>
</body>
</html>

Wenn ich jetzt mittels eines links
<a href="xss.php?vorname=<script>alert('Hallo Welt!');</script>">XSS</a>xss.php

drauf zu greife, möchte ich gerne das halt einfach ein alert fenster erscheint.

Das php Script sieht wie folgt aus
<?php
echo $_GET['vorname'];
?>

Es erfolgt aber keine Ausgabe, sondern die <> werden ausgefiltert mittels %c3

Habt ihr ne Idee wie es funktionieren könnte? Oder ne andere Idee für ein kleines XSS Beispiel?
Ich habe als Browser schon Firefox 1.0, 2.0, IE6,7 sowie Opera360 benutzt. Als Webserver wird Apache eingesetzt ohne irgendwelche Filterfunktionen.

Danke und Gruß
Malte

[Ben]

Hi,
willkommen im Forum.

Schau mal hier:
[PHP] Sichere PHP-Web-Applikationen schreiben

Da findest du ein Beispiel.

[Nachtrag]
Könnte auch ganz interessant sein?
http://en.wikipedia.org/wiki/Cross_site_scripting

Grüße, Ben.

[Chr!s]

Aus deinem Code:

html Code:

<form action="xss.php" method="get">
 

PHP-Code:

<?php
echo $_GET['vorname'];
?>

Benutze doch mal POST anstatt von GET.
Formulare mit GET werden eh so gut wie nicht verwendet.

[Xean]

ööhmm....
ich glaube nicht, dass er wissen will, wie man sich dagegen schützt, sondern wie man so was macht.

Ich hab bisschen ausprobiert, und du hast ein problem:
du musst verhindern dass vor den Anführungsstrichen ( 'Hallo Welt!' ) Schrägstriche gesetzt werden ( \'Hallo Welt!\' )... und ich glaube, dass geht nicht....

was gehen würde:
<a href="xss.php?vorname=<script>$x=5;alert($x);</script>">XSS</a>
aber ein string geht irgendwie nicht...

[Chr!s]

Zitat:

ööhmm....
ich glaube nicht, dass er wissen will, wie man sich dagegen schützt,

Hab ich ihm doch auch nicht angeboten (ich fühle mich mal angesprochen ) ..
In meinem Beispiel wird der XSS-"Angriff" ausgeführt, wenn er anstatt von GET, POST benutzt.

[Xean]

Ich meinte dich eher weniger, aber wenn DerMalle es über POST macht, dann funktioniert das mit dem Link nicht mehr, zwar noch via der Form aber mit GET gehts auch per Link

[Galge]

also für ein konkretes Beispiel habe ich folgendes Video in einem Forum gefunden:

Thread und Forum:
http://www.easy-coding.de/beispiel-fuer-xss-t3375.html

Video .swf 6MB
http://www.easy-coding.de/index.php?...48b0244cf4a76a

(.swf 's können mit dem Browser abgespielt werden)

[JumperII]

Hallo,

ich hab mal das Ganze etwas umgebaut. Hier der String zur Eingabe:

Code:

<form action=xssbad.php method=get><p>Vorname:<br><input name=vorname type=text></p><input type=submit value=Absenden ></form>

Datei: xssbad.php

PHP-Code:

<html>
<head>
</head>
<body>
<form action="xss.php" method="get">
<p>Vorname:<br><input name="vorname" type="text"></p>
<input type="submit" value=" Absenden ">
</form>
</body>
</html> 


Das Ganze wird natürlich erst richtig rund, wenn die Übergabeparameter per POST versteckt

Gruß,
Jumper, the II.

[MightyUhu]

Auf dieser Seite hier sind viele XSS Angriffszenarien dargestellt:

http://ha.ckers.org/xss.html

Hth Uhu.