[TYPO3-german] Session Riding in Typo3 möglich, wie ernst ist das Thema?
Adler, Jesse
j.adler at t-online.net
Fri Jan 11 13:28:58 CET 2008
Hallo Newsgroup,
ich wurde heute auf einen heise Artikel zum Thema Session Riding aufmerksam gemacht.
http://www.heise.de/security/news/meldung/54431
Nun habe ich ausprobiert, ob das theoretisch auch in Typo3 möglich ist, GET Parameter zu übergeben, die Datensätze löschen.
Stellen wir uns folgendes Szenario vor:
Ein Redakteur einer großen Website mit TYPO3 CMS ist im backend eingeloggt. Erhält dieser Redakteur nun eine Email mit einem Link, oder klickt auf einer Webseite einen präparierten Link, kann der Angreifer Datensätze löschen, da das Authetifizierungscookie beim Aufruf der URL mit übernommen wird.
Folgender Link würde dann einen tt_content Datensatz löschen.
http://www.bekannteurl.de/typo3/tce_db.php?&cmd[tt_content][584][delete]=1
Es muss nichtmal eine Internetseite sein. Auch im Intranet kann man Schaden anrichten und die URL sind in großen Firmen vielen Personen bekannt.
Wie brisant schätzt Ihr dieses Problem ein? Ist das schon bekannt? Hat jemand schonmal über die Verwendung von 1-mal Token nachgedacht?
Grüße
Jesse
More information about the TYPO3-german
mailing list