staging.inyokaproject.org

Hallo zusammen, mir wurde ein geha_ckter Server in die Hand gedrückt. jetzt gibts einen Umzug von Win. urtalt Server auf einen Ubuntu Server. Als Soft nehme ich Apache und php 8.2. Leider kann ich kein 8.2 nehmen, da mein PayPal Modul nicht läuft.

Eine Unterseite wird so aufgerufen: https://meineHP.de/fotos.php?lang=deutsch&item=Foto

<?PHP
$sprache = $_GET['lang'];

if ($sprache == "deutsch"){
	$ppform ="<a href='/paypal_Modul/index.php?id={$pitemn}'><img src='https://www.paypalobjects.com/de_DE/DE/i/btn/btn_buynowCC_LG.gif' alt='Paypal' /></a>";
}else{
	$ppform ="<a href='/paypal_Modul/index.php?id={$pitemn}'><img src='https://www.paypalobjects.com/en_US/i/btn/btn_buynowCC_LG.gif' alt='Paypal' /></a>";
};
?>

Laut KI ist das ein Sicherheitsloch. Wenn ich folgendes einbaue: *script *alert('XSS')*/script* Soll eine Meldung kommen, kommt aber nicht. Ein Scan mit SQL Map findet aber auch kein Sicherheitsloch. Mache ich einen Denkfehler.

Es ist nur eine Demonstration für meinen Kunde.

Soll das ein Scherz sein? Wie lautet Deine Frage?

Warum sollte das ein Scherz? Wenn ich ... *script *alert('XSS')*/script* ... einbaue, dann wird die Webseite ganz normal aufgebaut, der Stern ist natürlich eine Spitze Klammer. Ich habe viel über XSS gelesen. Habs aber noch nie in der Praxis getestet.

tomovic schrieb:

Warum sollte das ein Scherz?

Bitte beantworte Fragen von Leuten, die Dir helfen wollen!

[…] der Stern ist natürlich eine Spitze Klammer.

Unterlasse bitte solche irritierenden und verwirrenden Maskeraden!

Ubuntu 24.10 ist übrigens als Basis für einen längerfristig zu betreibenden Server ungeeignet.

ich bin davon ausgeganen, dass meine Frage verständlich ist, aber egal. Meine Frage ist: Warum geht der XSS nicht? Der Stern statt Klammer war beabsichtigt, nicht dass jemand denkt, ich würde Unfug treiben. Es soll auch keine negative auswirkung auf der Fourm zeigen.

Der 2te Hintergund ist, dass ich den Vorher/Nachher Effekt sehen kann. Sprich, ich baue eine Filterfunktion ein, der mir Sonderzeichen herausfiltert.

hallo zusammen, ich gehe mal davon aus, dass ich die Frage undeutig gestellt habe.

Warum greift der giftige link nicht, die Seite wird ganz normal aufgebaut:

https://meineHP.de/fotos.php?lang=deutsch&item=Foto // original

https://meineHP.de/fotos.php?lang=<script>alert('XSS')</script>&item=Foto // giftig

<?PHP
$sprache = $_GET['lang'];

if ($sprache == "deutsch"){
	$ppform ="<a href='/paypal_Modul/index.php?id={$pitemn}'><img src='https://www.paypalobjects.com/de_DE/DE/i/btn/btn_buynowCC_LG.gif' alt='Paypal' /></a>";
}else{
	$ppform ="<a href='/paypal_Modul/index.php?id={$pitemn}'><img src='https://www.paypalobjects.com/en_US/i/btn/btn_buynowCC_LG.gif' alt='Paypal' /></a>";
};
?>

tomovic schrieb:

[…] https://meineHP.de/fotos.php?lang=deutsch&item=Foto // original

https://meineHP.de/fotos.php?lang=<script>alert('XSS')</script>&item=Foto // giftig

Beide Verweise führen auf dieselbe Seite mit:

Diese Seite scheint nicht zu existieren.

Ich möchte nicht meine Origial Seite angeben. ☺ Ist mein Vorgehen richtig? Ist die Seite so angreifbar?

tomovic schrieb:

... Ist die Seite so angreifbar?

Welche Sicherheitsmaßnahmen hast du denn bisher ergriffen?

Der umstieg von Win 2008 Server auf den ubuntu 24.1 Server sqlmap heruntergeladen und mit risk 3 und level 5 gestartet. Nach ca. 1 h hat er gesagt, alles ok. Laut Chatgpt habe ich eine potenselle Sicherheitslücke. die Theore von XXE eingelesen. Kann es aber nicht die Praxis umsetzen.

tomovic schrieb:

sqlmap heruntergeladen und mit risk 3 und level 5 gestartet. Nach ca. 1 h hat er gesagt, alles ok.

sqlmap ist zum auffinden von SQL Injection Schwachstellen.

die Theore von XXE eingelesen. Kann es aber nicht die Praxis umsetzen.

Das ist schlecht, im Interesse deines Kunden, beauftrage jemanden mit der Implementierung geeigneter Massnahmen, wie z.B DOMPurify.sanitize().

Eigenetlich wollte ICH gerne die Theorie umsetzen, darum habe ich mir auch die Therie reingezogen.