1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Onlineshops mit…

XSS und CSRF durcheinander gebracht?

  1. Thema

Neues Thema Ansicht wechseln


  1. XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 11:43

    Auf der ersten Seite im Abschnitt der XSS Lücke steht:

    > Dafür muss lediglich dafür gesorgt sein, dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft.

    Das hört sich für mich eher nach CSRF.

  2. Re: XSS und CSRF durcheinander gebracht?

    Autor: hab (Golem.de) 25.10.18 - 12:02

    Nein, stimmt schon.

    Dass man eine vom Angreifer kontrollierte Webseite aufruft gilt im Normalfall sowohl für CSRF als auch für XSS. (Es gibt XSS-Szenarien bei denen das nicht so ist, bspw. wenn man ein Messaging-System mit einer XSS hat und so dem Opfer die "direkt" schicken kann. Aber im beschriebenen Fall ist das nicht so, da geht es um eine "gewöhnliche" Reflected-XSS-Lücke für das Suchformular.)

  3. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 12:54

    Das sehe ich anders. Es gibt eine Vielzahl von Verbreitungswegen für XSS Angriffen, in der Regel sind das z.B. Foren, Messenger, E-Mails, Kurz-URL Dienste, etc. Für all das ist keine "vom Angreifer kontrollierte Webseite" erforderlich.

    Und wie gesagt, dies ist nur der Verbreitungsweg. Mit dem Angriff selbst hat dies nur indirekt zu tun.

    Und Sie schreiben ja explizit " dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft". Das steht ja schon im Widerspruch zu Ihrer Erklärung. In dem Fall müsste ich zuvor die manipulierte Seite besuchen und nicht "zeitgleich".

  4. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 13:41

    Hier ein mal ein passender Auszug aus dem Wikipedia Artikel zu Cross-Site-Scripting, da es genau das Problem beschreibt:

    > Die Bezeichnung „Cross-Site“ bezieht sich darauf, dass der Angriff zwischen verschiedenen Aufrufen einer Seite stattfindet, in der Regel jedoch nicht darauf, dass unterschiedliche Websites beteiligt sind.
    https://de.wikipedia.org/wiki/Cross-Site-Scripting

  5. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 18:40

    Ich hätte es ja wirklich verstanden, wenn der Satz versehentlich in den falschen Absatz gerutscht wäre. Aber so zeugt von maßgeblicher Unkenntnis. Von jemanden der solche Fehler anprangert und einen Artikel darüber veröffentlicht, hätte ich mir mehr Sachverstand erwünscht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. KDO Service GmbH, Oldenburg
  3. Vorwerk Services GmbH, Wuppertal
  4. CCS 365 GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 68,23€
  2. 2,99€
  3. 4,69€
  4. 29,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021