Ich kapiers nicht.
Während das Chaos Communication Camp 2007 lief und sich die Hacked Seite füllte hab ich selber auch mal ein wenig unqualifiziert im Netz rumgeklickt.
Es ist einfach mal vollkommen unklar. Eine simple Suche nach XSS Problemen hat nahezu 99% Erfolg. Warum?! Packen es die Leute nicht ausgaben entsprechend sinnvoll zu enkodieren?
SQL Injections zu finden stellt auch kein wirkliches Problem dar, eine simple Google Suche liefert passable Ergebnisse.
Es stellt sich natürlich immer die Frage wie gravierend die Probleme sind. Aber sobald man die Preise in einem Online Shop selber definieren kann wird es meiner Meinung nach dann doch etwas haarig.
Generell aber denke ich das es an der am meisten benutzten Programmiersprache für Webanwendungen liegt. Diese macht es dem (angehenden) Programmierer viel zu einfach Mist zu bauen. Es muss doch irgendwo normal sein das alle Werte die einem SQL Statement übergeben werden entsprechend gequotet werden? Sowas muss einfach vollkommen automatisch im Hintergrund geschehen. Desweiteren müssen natürlich alle Ausgaben entsprechend dem HTML Standard gequotet werden. Aber selbst das scheint vermutlich nicht allzu leicht.
Kurzum: Es nervt!
Letzte Kommentare