[Global] Freiwilliges XSS mit PHP

Michael Hierweck global@hostsharing.net
Mon, 02 Jan 2006 19:00:24 +0100

Next message: [Global] Freiwilliges XSS mit PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Hallo,

ich wurde mit etwas konfrontiert, welches mich gleich an Christian
Horcherts Beitrag zu XSS auf der GV 2003 in Karlsruhe erinnerte:

Ein PHP-Skript inkludiert (hier aber bewusst) Code von einer anderen
(mehr oder weniger vertrauenswürdigen) nicht lokalen Website:

include('http://www.example.com/script.inc');

Sagt mal was zu den Risiken?

Ich hätte dabei zumindest Angst, dass example.com gecrackt würde und ich
dann auch mitsterbe, oder vor einer "man-in-the-middle"-Attacke, weil
jemand erfolgreich vorgibt, dass er www.example.com ist.

Und wenn der Betreiber von www.example.com will, kann er bei mir alles
tun, ausspionieren usw...

Oder sehe ich das falsch?

Viele Grüße

Michael

-- 
Michael Hierweck
EDV-Serviceteam Werthmann & Hierweck GbR
http://www.edv-serviceteam.net

Next message: [Global] Freiwilliges XSS mit PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]