[Global] Freiwilliges XSS mit PHP

[Christof Donat]

Hi,

> ich wurde mit etwas konfrontiert, welches mich gleich an Christian
> Horcherts Beitrag zu XSS auf der GV 2003 in Karlsruhe erinnerte:
> Ein PHP-Skript inkludiert (hier aber bewusst) Code von einer anderen
> (mehr oder weniger vertrauensw=FCrdigen) nicht lokalen Website:
> include('http://www.example.com/script.inc');
> Sagt mal was zu den Risiken?

Ich w=FCrde die als sehr hoch einstufen. Damit rufst du von dem entfernten=
=20
Rechner eine Datei ab, die dann in deinem Paket als PHP-Skript ausgef=FChrt=
=20
wird. Du hast keine Kontrolle dar=FCber, was dieses Skript macht.

Selbst wenn der Betreiber der Seite absolut vertrauensw=FCrdig ist, h=E4ngs=
t du=20
deine Sicherheit an die F=E4higkeiten und die Vertrauensw=FCrdigkeit seiner=
=20
Administratoren. Auch das w=FCrde ich mir mindestens zweimal =FCberlegen.

> Ich h=E4tte dabei zumindest Angst, dass example.com gecrackt w=FCrde und =
ich
> dann auch mitsterbe, oder vor einer "man-in-the-middle"-Attacke, weil
> jemand erfolgreich vorgibt, dass er www.example.com ist.

Beide Szenarien sind realistisch. Wobei man noch nicht einmal einen "man in=
=20
the middle" starten muss, um dir erfolgreich beliebigen PHP-Code=20
unterzuschieben, sondern es gen=FCgt ein einfaches DNS-Spoofing.=20

> Und wenn der Betreiber von www.example.com will, kann er bei mir alles
> tun, ausspionieren usw...
> Oder sehe ich das falsch?

Das siehst du richtig.

Darf ich fragen, in welchem konkreten Anwendungsfall das den f=FCr Sinnvoll=
=20
erachtet wird?

Christof

=2D-=20
Christof Donat Softwareentwicklung           Software nach Ma=DF

Zugspitzstr. 211                                 www.cdonat.de
86165 Augsburg                                   cdonat@gmx.de