[TYPO3-german] [TYPO3 german] TYPO3 4.2.6 und 4.3.0alpha2 Logout sofort nach Login im Backend

Christian Wolff chris at connye.com
Sun Apr 19 01:07:06 CEST 2009 

Martin Schoenbeck schrieb:
> Christian Wolff schrieb:
> 
>> Martin Schoenbeck schrieb:
> 
>>> Nur warum sollte er sich dann die Mühe machen, das Cookie zu klauen, wenn
>>> er doch direkt per Javascript meinen Server steuern kann.
>> naja kann er ja nicht. wenn die verwundbare extension mit dem string
>> data nix anderes macht als sie wieder auszugeben. z.b weil, weil es
>> normalerweise genutzt wird um eine nachricht an den user von einer seite
>> zur anderen zu übergeben. kann ja sein das mit der lücke gar keine
>> anderen angriffe wie SQL-Injektion möglich sind.
> 
> Was hat jetzt "andere Aktionen per Javascript auslösen" mit SQL-Injektion
> zu tun?

war darauf bezogen das er mit Javascript direkt deinen server steuern
kann. kann er ja gar nicht. mit dem teil den er im angenommen
angriffsenario beinflussen kann. kann er lediglich html/javascript in
das frontend einer seite einschleusen. damit kann er mit javascript
nicht deinen server steuern jedenfalls keine aktionen im BE anrichten.

> 
>>> Ähm nein. Mach ich nicht. Müßte ich ja einen an der Klatsche haben. Schon
>>> gerade, wenn ich noch eingeloggt bin.
>> gut dann bist du ein aufmerksamer mensch/admin. aber würdest du dich für
>> jeden deiner redakteure verbürgen? - ich würde es nicht tun.
> 
> Ich auch nicht. Aber ich kann sicherstellen, daß keine Extension läuft, die
> solchen Murks ermöglicht.

genau das sollte man auch sicherstellen :) aber du machst bestimmt keine
security analyse von jeder extension die du installierst. (falls doch
respekt). du wirst warscheinlich die typo3 security news lesen um zu
wissen welche extensions bekannte lücken haben. und hoffen das die bösen
keine unbekannten finden.
> 
>> und was
>> passiert wenn man dir eine tiny url oder ähnliches schickt. wo du gar
>> nicht sehen kannst was sich dahinter verbirgt. alles eine frage des
>> aufwandes.
> 
> In Deinem Szenario würde ich mich ja auf jeden Fall erstmal ausloggen. Denn
> der, der mir das geschickt hat, hat ja nicht meine Rechte, und wie soll ich
> sein Problem reproduzieren, wenn ich noch mit anderen Rechten auf der Seite
> angemeldet bin. Falls ich das übersehe, dann sehe ich nach dem Aufruf einer
> Tiny-Url aber, was da angerichtet wurde und logge mich spätestens dann aus.
> Wobei auch das mangels geeigneter Extension ausfällt.

gut dann schickt er dir eben eine email, hey schau dir das mal das
lustige bild auf www.unverdächtigerdomainname.de/irgendwas.html an. am
besten gibt er als absende adresse eine email eines Kollegen/Bekannten
an. und die unverdächtige-domain macht dann ein unsichtbaren iframe auf.
der verwundbare seite aufruft. und du bekommst ein witziges bild zu sehen.

aber um so einen aufwand zu treiben. müsste man schon viel arbeit
investieren. und das lohnt sich für den 0815-hack wohl nicht. hier gehts
dann schon um einen sehr sehr geziehlten angriff.
> 
> Gruß Martin


gruss chris

-- 
Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de |
http://fairplay-homepage.de

More information about the TYPO3-german mailing list