pnForum | Dizkus
das Forum für ZikulaNewsbeiträge
Cross-Site-Scripting Filterung als Hook
Cross-Site-Scripting bezeichnet die Möglichkeit, Code in fremde Seiten einzuschleusen - bei PostNuke beispielsweise über HTML-Tags wenn Parameter erlaubt sind (weitere Informationen siehe Wikipedia).
Auch wenn durch den pnAntiCracker und auch weitere Sicherheitsvorkehrungen in der pnAPI z.B. Session-Hijacking nicht möglich sein sollte, bleibt trotzdem noch ein 'Restrisiko' durch unter anderem Social Engineering bzw. Änderung der angezeigten Inhalte.
Als Gegenmassnahme gibt z.B. für Squirrelmail seit geraumer Zeit den HTMLFilter von Konstantin Riabitsev der auch die Grundlage für den neuen XSS-Filter-Hook bildet.
Die Ausführung als Hook ermöglicht es, die doch recht resourcenintensive Prüfung aller im Text vorkommenden HTML-Tags speziell auf Module die Benutzerinteraktion ermöglichen (z.B. das pnForum aber auch EZComments etc.) anzuwenden.Auch wenn durch den pnAntiCracker und auch weitere Sicherheitsvorkehrungen in der pnAPI z.B. Session-Hijacking nicht möglich sein sollte, bleibt trotzdem noch ein 'Restrisiko' durch unter anderem Social Engineering bzw. Änderung der angezeigten Inhalte.
Als Gegenmassnahme gibt z.B. für Squirrelmail seit geraumer Zeit den HTMLFilter von Konstantin Riabitsev der auch die Grundlage für den neuen XSS-Filter-Hook bildet.
Im jetzt verfügbaren ersten Release Candidate ist die Logik des Filter noch hartkodiert in der pnuserapi.php (dort wird definiert, welche Muster nicht erlaubt sind). Die Beschreibung zu den verschiedenen Möglichkeiten findet sich in /pndocs/help.txt, generelle Informationen zur Installation finden sich in /pndocs/faq.txt
Bitte beachten, dass der Hook derzeit noch RC-Status hat und in erster Linie als 'Proof-of-Concept' ausgestet werden sollte.
Download
![[P]](http://www.pnforum.de/images/icons/extrasmall/printer1.gif "Druckansicht"){kind=icon}