[TYPO3-german] Re: Session Riding in Typo3 möglich, wie ernst ist das Thema?

Christian Wolff Chris at connye.com
Fri Jan 11 14:12:25 CET 2008 

On Fri, 11 Jan 2008 13:28:58 +0100, Adler, Jesse <j.adler at t-online.net>  
wrote:

> Hallo Newsgroup,
> ich wurde heute auf einen heise Artikel zum Thema Session Riding  
> aufmerksam gemacht.
> http://www.heise.de/security/news/meldung/54431
> Nun habe ich ausprobiert, ob das theoretisch auch in Typo3 möglich ist,  
> GET Parameter zu übergeben, die Datensätze löschen.
> Stellen wir uns folgendes Szenario vor:
> Ein Redakteur einer großen Website mit TYPO3 CMS ist im backend  
> eingeloggt. Erhält dieser Redakteur nun eine Email mit einem Link, oder  
> klickt auf einer Webseite einen präparierten Link, kann der Angreifer  
> Datensätze löschen, da das Authetifizierungscookie beim Aufruf der URL  
> mit übernommen wird.
> Folgender Link würde dann einen tt_content Datensatz löschen.
> http://www.bekannteurl.de/typo3/tce_db.php?&cmd[tt_content][584][delete]=1
> Es muss nichtmal eine Internetseite sein. Auch im Intranet kann man  
> Schaden anrichten und die URL sind in großen Firmen vielen Personen  
> bekannt.
> Wie brisant schätzt Ihr dieses Problem ein? Ist das schon bekannt? Hat  
> jemand schonmal über die Verwendung von 1-mal Token nachgedacht?
> Grüße
> Jesse
>

Hallo Jessse,
Das ist natürlich schon ein Problem.
wenn man mal nachdenkt wie ein "realistisches" angrifs scenario aussieht.
denke ich ist die gefahr eher gering.
der angreifer muss sich erstmal folgende informationen beschaffen:
1. UID des Datensatzes. (okay die bekommt er im
zweifel aus den Kommentaren die css_styled_content mitgibt.

2. Email Adresse eines redaktuers oder IM kontakt. oder anderes medium um  
ihm einen link zu kommen zu lassen.

3. er braucht "glück" das dieser gerade eingelogged ist. und den bösen  
link auch in diesem moment klickt.


viel interessanter währe es natürlich anstatt sachen zu löschen auf einen  
Administrator der webseite
zu zielen hast du auch überprüft ob man bei Administrativen Sessionriding  
vieleicht sich sogar seinen eigenen
admin user anlegen kann?

gruss chris


-- 
Christian Wolff // Berlin
http://www.connye.com

Latest Projects:
http://www.flycall.de | http://www.atr24.de | http://www.titanic.de

More information about the TYPO3-german mailing list