Opened by newperler at 2011-04-29 19:19
User since
2005-01-17
14816 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14816 Artikel
Admin1
<ironie>
Och, auch die Eingabe
oder
führt zu "eleganten Ergebnissen"!
KSearch ist unsicher für XSS & andere Injektionen.
Ich finde im Original ksearch.cgi Zeile 1106 völlig unspaßig und unsicher:
, wenn einfach im Template folgendes steht:
Ich kann nur abraten das als Erzeuger für PHP & Co-Frontends zu verwenden, solange nicht verhindert wird, dass andere Skriptsprachen injiziert werden können.
//EDIT: Habe dem Autor per Mail das Problem geschildert.
Last edited: 2011-05-03 15:04:16 +0200 (CEST)
Och, auch die Eingabe
Code: (dl
)
<script>alert('BOOOOOO! Hijacked!')</script>Code: (dl
)
<script>window.location='http://example.org'</script>
KSearch ist unsicher für XSS & andere Injektionen.
Ich finde im Original ksearch.cgi Zeile 1106 völlig unspaßig und unsicher:
Code (perl): (dl
)
1 2
$html =~ s/<!--\s*cgi:\s*(\S+?)\s*-->/$h{$1}/gis; print $html; # finally print the HTML page
, wenn einfach im Template folgendes steht:
Code: (dl
)
<input type="text" size="35" name="<!--cgi: input_name-->" value="<!--cgi: query_str-->" onfocus="select(this);" />
Ich kann nur abraten das als Erzeuger für PHP & Co-Frontends zu verwenden, solange nicht verhindert wird, dass andere Skriptsprachen injiziert werden können.
//EDIT: Habe dem Autor per Mail das Problem geschildert.
Last edited: 2011-05-03 15:04:16 +0200 (CEST)
View full thread Wie PHP-Code in .cgi ausführen?