1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Typo3 ist per Cross…

Der Fix ist genial ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Der Fix ist genial ...

    Autor: Baron Münchhausen. 23.09.15 - 09:21

    > Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

    Das Problem sollte an erster Stelle dadurch gelöst werden, dass keine code injection mehr möglich ist, und nicht dadurch, dass man injection durchführen kann, das System aber dann nachträglich irgendwelche Validierungen durchführt.

    Als ein extra Layer zur Absicherung gegen neue Fehler ist es gut, aber nicht als FIX. Es seiden es wurde hier versäumt die Information im Artikel korrekt zu liefern.

  2. Re: Der Fix ist genial ...

    Autor: xUser 23.09.15 - 23:27

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > > Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die
    > Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token
    > hinzufügt.
    > Als ein extra Layer zur Absicherung gegen neue Fehler ist es gut, aber
    > nicht als FIX. Es seiden es wurde hier versäumt die Information im Artikel
    > korrekt zu liefern.

    Der Fix besteht ja auch darin, die Routine zum Entfernen von XSS anzupassen. Das mit dem Token soll ja eigentlich gegen CSRF absichern, hilft bei dieser speziellen XSS Lücke aber auch.
    Das Problem hier ist, dass ja normales HTML durchgelassen werden soll, aber eben nichts, welches Schaden anrichten kann. Und weil HTML ein XML/SGML Derivate ist, lässt es sich nur ganz fürchterlich parsen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Melitta Business Service Center GmbH & Co. KG, Minden
  2. WITRON Gruppe, Neu-Isenburg bei Frankfurt/Main
  3. Dentsply Sirona, The Dental Solutions Company(TM), Bensheim bei Darmstadt
  4. Deutsches Elektronen-Synchrotron DESY, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Green Hell für 6,99€, Dead by Daylight für 5,49€, Dying Light - The Following Enhanced...
  2. (u. a. Heavy Rain für 8,99€, Beyond: Two Souls für 8,99€, Detroit: Become Human für 24...
  3. 39,99€ (PS4, Xbox One, Nintendo Switch)
  4. (u. a. Persona 4 - Golden Deluxe Edition für 14,99€, Bayonetta für 4,99€, Catherine Classic...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck