Hi
Zitat:
was soll ein Angreifer verändern! Welchen Sinn würde es machen?
|
Er kann dir andere url's Posten, wozu ka, vielleicht gibts Geld bei dir zu holen ;)
Zitat:
Übergeben wird lediglich ein relativer Pfad zu einem Bild und das per POST und nicht per GET über die URL.
|
Was niemand daran hindert dir was anderes zu posten! Und wenn ich du ungeprüft
url's übernimmst kann ich dir etwas ala
Code:
../bilder/haus/haus_1.jpg" /><script>##böser code z.B. Cookie-Read</script><img src="../bilder/haus/haus_1.jpg
senden.
Das über eine eigene Portal-Seite könnte möglich Kunden mit einem simplen Link
auf deine Seite mit manipulierten POST schicken und deren Cookies auslesen!
Der Kunde merkt davon gar nix!
Kennst du nicht emails mit tollen adressen wie
"telecom.de.start.login.321§%QER343413r4e3434reeqr423423434r234234r324 e.meinehackdomain.de"
mfg
CKaos