Guten Tag,
ich habe eine Drupal 6 Site mit Tausenden Besucher täglich. Seit kurzem gibt es ein Modul welche nicht mehr unterstützt wird: MP3 Player. Aber ich brauche den Module, weil viele Einträge damit verbunden sind. Weiss jemand was genau das Problem ist und wie ich selber diese Module patchen kann?
Das Module ist hier: http://drupal.org/project/mp3player
This module is unsupported due to a security issue the maintainer didn’t fix. See SA-CONTRIB-2013-043 - MP3 Player - Cross Site Scripting (XSS) for details.
If you want to use this module, your options are:
Choose another, actively maintained module instead
File an issue in the queue with a patch to fix the module and then contact the security team to have your version reviewed and the project handed over to you following the unsupported project process.
Hire someone to fix the security bug so the module can be re-published (see this guide on how to hire a Drupal site developer)
SA-CONTRIB-2013-043 - MP3 Player - Cross Site Scripting (XSS)
http://drupal.org/node/1972804
Eine Cross Site Scripting
Eine Cross Site Scripting Sicherheitslücke entsteht, wenn die Benutzereingaben vom Client nicht richtig validiert werden. Einfaches ganz einfaches Beispiel:
1. Wir haben eine Datei search.php und diese bekommt per $_GET eine Eingabe, welche mit print oder echo angezeigt wird. Also bei dem Aufruf /search.php?wort=Hallo wird Hallo ausgegeben.
2. Wenn man aber anstatt Hallo /search.php?wort=Hallo schreibt, wird b vom Browser als ein HTML Befehl interpretiert und Hallo angezeigt.
3. Da man HTML Befehle ausführen kann, kann man auch JavaScript Befhele ausführen und damit die Cookies vom Benutzer "klauen". Die Benutzer auf Seiten mit Viren weiterleiten etc.
So ungefähr funktioniert Cross Site Scripting (XSS)
Schutzmaßnahme Alle Eingabe mit htmlspecialchars oder htmlentities validieren!
Neuen Kommentar schreiben