AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Problem mit GeSHi und dem großen "Ü"
Thema durchsuchen
Ansicht
Themen-Optionen

Problem mit GeSHi und dem großen "Ü"

Ein Thema von Matze · begonnen am 31. Mai 2008 · letzter Beitrag vom 1. Jun 2008
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#11

Re: Problem mit GeSHi und dem großen "Ü"

  Alt 1. Jun 2008, 12:23
Hallo

Zitat von BenBE:
Der einzige Angriff wäre also möglich, wenn man dem User die Möglichkeit gibt, JEGLICHES CSS anzugeben.
Das habe ich nicht ganz verstanden. DU meinst, es wäre riskant, wenn GeSHI CSS-Code in die Seite integriert, sodass der Browser dies interpretiert?

Das ginge ja nur mittels HTML-Tags und die werden sowieso durch htmlspecialchars() umgewandelt. Und angenommen, CSS ließe sich "ausführen", was sollte daran so gefährlich sein (vorausgesetzt, HTML kann nicht "ausgeführt" werden)?

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von BenBE
BenBE

Registriert seit: 3. Apr 2005
Ort: Jahnsdorf
48 Beiträge
 
Delphi 5 Enterprise
 
#12

Re: Problem mit GeSHi und dem großen "Ü"

  Alt 1. Jun 2008, 12:54
GeSHi bietet die Möglichkeit die Styles, mit denen Dinge hervorgehoben werden, zu verändern. Also diese ganzen set_*_style-Methoden. Wenn der Anwender die Möglichkeit hat, diesen eigene Inhalte zu übergeben, so kann er dort beliebige Dinge mit tun; im Falle einer DB als Datenquelle also auch ein derart präparierten Source speichern, der dann von anderen Anwendern aufgerufen wird.

Vermieden werden kann dies, indem man bevor man benutzerdefiniertes CSS an GESHi übergibt, dieses bereits entsprechend filtert.

Beispiel:
Code:
$G->set_strings_style('\'><SCRIPT>alert("xss");</SCRIPT><br lang=\'', false);
Wobei halt '\'><SCRIPT>alert("xss");</SCRIPT>' ein vom Benutzer frei wählbarer String ist.
Benny Baumann
Je komplexer das System, desto kleiner die Fehler; je kleiner die Fehler, desto häufiger ihr Auftreten!
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#13

Re: Problem mit GeSHi und dem großen "Ü"

  Alt 1. Jun 2008, 13:19
Hi,

ach da smeinst du. Ich lasse den Benutzer ganz sicher keine eigenen Styles definieren sondern nutze die Attribute, die in den Sprachdateien definiert sind. Also alles in Ordnung.

Grüße
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:11 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz