Menü
aus ein
Ansicht umschalten Baum an
Avatar von Lothar Manfred
  • Lothar Manfred

mehr als 1000 Beiträge seit 02.01.2002

Cross-Site-Scripting? Wo?

Der Demonstrations-Link lautet (nach Unescaping):

http://www.linksfraktion.de/kontakt.php?nachname=&strasse=&plz=&ort=&
mailadresse=&anfragetext=&eintrag=ok
&send=Abschicken&vorname="><div
style=position:relative;left:-12pt;top:-413pt;
background-color:white;width:95%;>
27.05.2008<h2>Die Linke stimmt für Hotte
Köhler</h2>Selbstverständlich wurde auch diese Meldung über eine
XSS-Lücke eingeschmuggelt.</div><div>

Toll. Nur: Was hat das mit Cross-Site-Scripting zu tun? Steh ich
auf'm Schlauch oder was?

Hier werden doch lediglich Formulardaten aus dem Query-String ins
Antwortformular übernommen.

Natürlich KÖNNTE man allerdings in die übergebenen Daten irgendwo
noch ein kleines <SCRIPT...> einbauen und damit irgendwelche
maliziösen Dinge tun... ;-)
Bewerten
- +
Anzeige