Die Datei "exploit.cfg" ist ein Mini-Konfig fr den universellen Webfilter Proxomitron (www.buerschgens.de/prox). Es enthlt zwei Filter: Der erste (Sandblad-Exploit) entfernt aus Webseiten alle Skripte, die den Befehl "showhelp" enthalten. Er ffnet ein Hilfefenster zu einer lokalen Amnwendung (in der Regel dem Browser), wofr es keine sinnvolle Anwendung gibt. ber verschiedene Sicherheitslcken des Internet Explorer lsst sich der Mechanismus aber missbrauchen, um auf dem PC des Anwenders Programme mit Parametern aufzurufen. So wre es mglich, auf der lokalen Festplatte und im lokalen Netz Dateien anzulegen, zu ndern oder gar zu lschen. Der zweite Filter entfernt Skripte, die den "Cache-Exploit" nutzen, um lokale Programme aufzurufen. Er ermglicht zwar nicht die bergabe von Parametern und kann somit nicht unmittelbar Dateien lschen, birgt aber dennoch ein Gefahrenpotenzial.

Sind die Skripte in HTML-Seiten eingebettet, entfernen die Filter sie sauber und ersetzen sie durch einen Kommentar. In Skripten, die der Browser nachldt, werden nur die gefhrlichen Befehle gelscht und der Browser meldet einen JavaScript-Fehler, den man aber getrost ignorieren kann. In jedem Fall ffnet der Proxomitron eine Dialogbox und meldet den eventuellen Exploit.

Installation: Das Mini-Konfig wird im Proxomitron ber den Befehl "Importiere Konfig-Datei" im Men "Datei" geladen (englischsprachige Version: "File/Merge config filters"). Ein Mausklick auf die grne Diskette in der Toolbar des Proxy speichert die neuen Filter in der "default.cfg", die beim Start geladen wird. Die Filter sind automatisch aktiviert.

Noch ein Wort zur Implementierung: blicherweise unterscheiden Proxomitron-Filter zwischen Skripten in HTML-Dokumenten ($TYPE(htm)) und nachgeladenen JavaScript-Dokumenten ($TYPE(js)). Dazu zieht der Webfilter den vom Server gelieferten Document-Type heran, der anhand der der Dateiendung (fr JacAcript-Files: ".js") unterschieden wird. Genauso sollten Browser verfahren, doch Microsoft hlt nichts von solchen Standards. Der Internet Explorer fhrt auch Skripte aus, die der Server als htm-Dateien liefert. Im Unterschied zu in htm-Dateien eingebetteten Skripten fehlen dann aber die "<script>" und "</script>"-Tags, die der htm-Teil der Filter bentigt, um nicht die ganze Seite zu lschen. Damit auch unter falschem Document-Type geladene Skripte behandelt werden, fehlt im zweiten Teil der Filter (hinter der Oder-Verknpfung "|") jeweils die $TYPE(js)-Anweisung. Diese sollten IE-Anwender auch aus anderen JS-Filtern entfernen, die auf externe Skripte wirken sollen.
