XSS nach wie vor möglich, wenn HTML eingeschaltet

1. offizieller Beitrag

    Hey

    Ich hab mir gestern euer basic-security Plugin 4.1.1 installiert und von nem kumpel testen lassen.

    Was anfangs ganz schick war war nach kurzer Zeit nicht mehr so schick.
    Ich hab auf sein bitten hin, die HTML Funktion für normale User (ja, es gibt leute, die es ihren Usern zutrauen und es war nur zum testen) aktiviert.

    Ein einfaches

    PHP
    <script>alert("Hallo Welt!");</script>

    wurde ausgeführt ohne irgend ein Problem und wie wir wissen, ist Javascript die Basis für XSS Scripting.

    Ist da schon was bekannt oder wie siehts damit aus?

    • Offizieller Beitrag

    Das SecuritySystem basic unterstützt keinen Schutz gegen XSS! Nur das SecuritySystem premium erkennt XSS-Code.

    Anmerkung: Hier ist bei den Posts der XSS-Schutz deaktiviert, damit auch XSS-Code (HTML ist nicht erlaubt, daher kein Security-Problem) gepostet werden kann. Du kannst den XSS-Schutz z.b. über die Suche testen.