1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Onlineshops mit…

XSS und CSRF durcheinander gebracht?

  1. Thema

Neues Thema Ansicht wechseln


  1. XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 11:43

    Auf der ersten Seite im Abschnitt der XSS Lücke steht:

    > Dafür muss lediglich dafür gesorgt sein, dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft.

    Das hört sich für mich eher nach CSRF.

  2. Re: XSS und CSRF durcheinander gebracht?

    Autor: hab (Golem.de) 25.10.18 - 12:02

    Nein, stimmt schon.

    Dass man eine vom Angreifer kontrollierte Webseite aufruft gilt im Normalfall sowohl für CSRF als auch für XSS. (Es gibt XSS-Szenarien bei denen das nicht so ist, bspw. wenn man ein Messaging-System mit einer XSS hat und so dem Opfer die "direkt" schicken kann. Aber im beschriebenen Fall ist das nicht so, da geht es um eine "gewöhnliche" Reflected-XSS-Lücke für das Suchformular.)

  3. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 12:54

    Das sehe ich anders. Es gibt eine Vielzahl von Verbreitungswegen für XSS Angriffen, in der Regel sind das z.B. Foren, Messenger, E-Mails, Kurz-URL Dienste, etc. Für all das ist keine "vom Angreifer kontrollierte Webseite" erforderlich.

    Und wie gesagt, dies ist nur der Verbreitungsweg. Mit dem Angriff selbst hat dies nur indirekt zu tun.

    Und Sie schreiben ja explizit " dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft". Das steht ja schon im Widerspruch zu Ihrer Erklärung. In dem Fall müsste ich zuvor die manipulierte Seite besuchen und nicht "zeitgleich".

  4. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 13:41

    Hier ein mal ein passender Auszug aus dem Wikipedia Artikel zu Cross-Site-Scripting, da es genau das Problem beschreibt:

    > Die Bezeichnung „Cross-Site“ bezieht sich darauf, dass der Angriff zwischen verschiedenen Aufrufen einer Seite stattfindet, in der Regel jedoch nicht darauf, dass unterschiedliche Websites beteiligt sind.
    https://de.wikipedia.org/wiki/Cross-Site-Scripting

  5. Re: XSS und CSRF durcheinander gebracht?

    Autor: smonkey 25.10.18 - 18:40

    Ich hätte es ja wirklich verstanden, wenn der Satz versehentlich in den falschen Absatz gerutscht wäre. Aber so zeugt von maßgeblicher Unkenntnis. Von jemanden der solche Fehler anprangert und einen Artikel darüber veröffentlicht, hätte ich mir mehr Sachverstand erwünscht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senatsverwaltung für Bildung, Jugend und Familie, Berlin
  2. INTERBODEN GmbH & Co. KG, Ratingen
  3. Software AG, deutschlandweit
  4. operational services GmbH & Co. KG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Asus VivoBook S14 inkl. Microsoft 365 Single für 699€, LG OLED65CX9LA 65 Zoll OLED für 1...
  2. (u. a. QLED 4K Q70T 70 Zoll 100Hz für 2.499€, QLED 8K Q700T 55 Zoll 60Hz für 1.599€, QLED 8K...
  3. (u. a. be quiet! Dark Rock TF CPU-Kühler für 67,90€, HP S700 250GB SATA-SSD für 29,99€, Acer...
  4. (u. a. Proscenic 850T WLAN-Saugroboter für 191,20€, Satechi Computerzubehör günstiger (u. a...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Notebook-Displays: Tschüss 16:9, hallo 16:10!
Notebook-Displays
Tschüss 16:9, hallo 16:10!

Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
Ein IMHO von Marc Sauter

  1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
  2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
  3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

Google vs. Oracle: Das wichtigste Urteil der IT seit Jahrzehnten
Google vs. Oracle
Das wichtigste Urteil der IT seit Jahrzehnten

Der Prozess Google gegen Oracle wird in diesem Jahr enden. Egal welche Seite gewinnt, die Entscheidung wird die IT-Landschaft langfristig prägen.
Eine Analyse von Sebastian Grüner


    Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
    Elektromobilität 2020/21
    Nur Tesla legte in der Krise zu

    Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
    Eine Analyse von Dirk Kunde

    1. Elektromobilität Akkupreise fallen auf Rekord von 66 Euro/kWh
    2. Transporter Mercedes eSprinter bekommt neue Elektroplattform
    3. Aptera Günstige Elektrofahrzeuge vorbestellbar