Perso Check Script erweitern?


Status
Dieses Thema wurde gelöst! Zur Lösung gehen…

ComFreek

Mod | @comfreek
Moderator
#81
du beim Klick auf persp Checken die aktuelle url mit an der url hängst und somit später wieder aufrufbar ist.
Da musst du aber unbedingt die URL vor der Weiterleitung überprüfen. Ansonsten könnten Angreifer eine URL wie
Code:
https://shop-von-shorty.example.com/persoSkript.php?weiterleitenZu=https://url-von-angreifer
Nutzern via Social Engineering unterschieben. Nutzer denken, dass das eine harmlose URL sei!
 

ComFreek

Mod | @comfreek
Moderator
#83
Beim überprüfen müßte es doch dann reichen, das man nee Abfrage macht, ob man noch auf den gleichen Host ist , oder reicht das nicht?
Theoretisch ja. Aber ich würde, um sicher zu gehen, nach einer Onlinereferenz suchen, vielleicht hat OWASP etwas dazu. Das klingt für mich gerade nach "theoretisch müsste Escapen von Single Quotes reichen", praktisch aber nicht ;)
 
Status
Dieses Thema wurde gelöst! Zur Lösung gehen…