[TYPO3-UG Oesterreich] Hacks von fpoe.at und gruene.at

Georg Ringer typo3 at ringerge.org
Fri Jul 29 17:01:48 CEST 2011 

Hallo Arthur & Co,

bitte seit euch bewusst, dass solche Details, sofern diese nicht durch
irgendwelche Security Bulletins bekannt sind, nicht unbedingt ideal sind
um in der Öffentlichkeit darüber zu diskutieren. Das mag insbesonders
dann zutreffen wenn es Lücken sind, die nicht allgemein bekannt sind.

Daher möchte ich v.a. auf das eingehen was man daraus lernen kann:

1) Wartungsverträge inkl schneller Reponsezeiten
Projekte werden täglich realisiert und sind zu dem Zeitpunkt auch
aktuell und sicher, das ändert sich schnell wenn das Projekt nicht mehr
gepflegt wird

2) Versionsnummern
Man sollte sich nicht immer nur auf die Versionsnummer verlassen, denn
nur weil ein Projekt ein 4.1. ist, heißt das nicht, dass es unsicher
sein *muss* Nur als Bsp das Jumpurl-Issue. Man findet genügend ältere
Projekte, wo das gefixt wurde, aber die Versionsnummer immer noch eine
verdammt alte ist.

Natürlich ist es unwahrscheinlich(er), dass immer nur Securitypatches
manuell gepatcht wurden und nie komplette Releases nachgezogen werden.

3) Extensions != Core
Das Problem sind mehr Extensions und weniger der Core, extrem hässliche
Bugs wie eben jumpurl werden in großer Zahl gefixt bzw gibt es auch
sonst kaum massive Coreissues, die gefixt worden sind (v.a. verglichen
mit Problemen in Extensions).

XSS & sqlInjection lassen sich auch problemlos über TypoScript machen,
auch das sollte nicht vergessen werden

4) Bewusstsein für Sicherheit während dem programmieren
Nicht mal wild los programmieren und glauben, dass man noch nachher Lust
auf intval und quoteStr hat bzw die Zeit dazu wenn das nächste Projekt
ansteht.

4b) Das gilt insbesonders für Extensions, die im TER landen!
Hier bitte vorm Hochladen nochmal ein Review machen, vielleicht durch
eine andere Person. Genau das sind oft die Ursachen warum Installationen
gehackt werden - das kann eure Schuld sein!

Klar, theoretisch muss man jede Extension vorm verwenden auch reviewen!

4c) Andere von Sicherheit überzeugen
Paranoid heißt nicht, dass man nicht doch verfolgt wird ;)
Überzeuge deinen Chef/Mitarbeiter/Kollegen/Kunden davon, dass Sicherheit
wichtig ist!

5) Sich nicht auf andere verlassen
Das gilt auch für Code von anderen. Nur als Beispiel: Fluid escaped
alles ganz brav, das heißt aber nicht, dass in Spezialfällen usw das
immer und überall der Fall sein muss!

6) Saltedpasswords
für FE & BE (vermutlich ab 4-6 default)

7) Lücken in Core & Extensions dem Security Team melden
Emailadresse: security at typo3.org

Wir versuchen, rasch zu antworten und Probleme zu lösen, wenn es mal
länger dauert (das muss alles in der übrigen Zeit erledigt werden),
nachfragen. Sei es über ein weiteres Mail oder persönlich bei einem der
Mitglieder

8) Weiter Augen & Ohren offen halten.
Früher hat man sich über Sicherheit keine Gedanken gemacht, da war es
geil wenn man mit php irgendwas herumgepfuscht hat. Das ist jetzt
anders. Es gibt hier viel spannendes zu lernen und auszuprobieren!

Als Beispiel: Man nehme
------
<?php
	echo '<input type="text" value="' . strip_tags($_GET['xss']) . '" />;
?>
------
und schaut warum strip_tags, im Gegensatz zu htmlspecialchars() nicht
gegen XSS hilft.


Es sind auf die schnelle keine 10 Punkte geworden, aber vielleicht fällt
mir ja sonst noch was ein

liebe Grüße
Georg Ringer
Mitglied des TYPO3 Security Team
Mitglied des TYPO3 v4 Core Team
Mitglied des TYPO3 Business Control Comitee

More information about the TYPO3-at mailing list