Kommentare zu: Sicherheitslücken in eigenen und fremden Extensions schließen: TYPO3-Extensions absichern http://t3n.de/magazin/typo3-extensions-absichern-sicherheitslucken-eigenen-221198/ Open. Web. Business. Mon, 13 Feb 2012 14:11:24 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: Get Variablen - PHP include - TYPO3 Forum & Portal http://t3n.de/magazin/typo3-extensions-absichern-sicherheitslucken-eigenen-221198/comment-page-1/#comment-1659 Get Variablen - PHP include - TYPO3 Forum & Portal Fri, 17 Jun 2011 12:06:00 +0000 http://t3n.de/magazin/typo3-extensions-absichern-sicherheitslucken-eigenen-221198/#comment-1659 [...] [...] [...] [...]

]]> Von: wir http://t3n.de/magazin/typo3-extensions-absichern-sicherheitslucken-eigenen-221198/comment-page-1/#comment-795 wir Mon, 12 Apr 2010 18:42:05 +0000 http://t3n.de/magazin/typo3-extensions-absichern-sicherheitslucken-eigenen-221198/#comment-795 Ein CSRF-Angriff kann nicht dadurch verhindert werden, dass Requests, die zu einer Veränderung von Daten führen, nur per HTTP-POST akzeptiert werden. Auch per HTTP-POST kann ohne weiteres ein gefälschter Request abgesetzt werden. Dazu erstellt der Angreifer eine Seite, auf die er das Opfer lockt. Dort wird der manipulierte Request entweder mittels einer clientseitigen Skriptsprache wie zum Beispiel Javascript erzeugt oder der Angreifer bringt das Opfer dazu, auf einen Button oder ein Bild zu klicken, wodurch der Request abgesetzt wird. Wählt der Angreifer als Ziel (target-Parameter) des Formulars einen unsichtbaren Frame oder Inlineframe, sind auch hier die Chancen gering, dass das Opfer den Angriff bemerkt. (http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery#Nur_HTTP-Post_akzeptieren) Was mich aber interessieren würde, ist ob TYPO3 Funktionen bereitstellt um Canaries in Formulare einzufügen. Ein CSRF-Angriff kann nicht dadurch verhindert werden, dass Requests, die zu einer Veränderung von Daten führen, nur per HTTP-POST akzeptiert werden. Auch per HTTP-POST kann ohne weiteres ein gefälschter Request abgesetzt werden. Dazu erstellt der Angreifer eine Seite, auf die er das Opfer lockt. Dort wird der manipulierte Request entweder mittels einer clientseitigen Skriptsprache wie zum Beispiel Javascript erzeugt oder der Angreifer bringt das Opfer dazu, auf einen Button oder ein Bild zu klicken, wodurch der Request abgesetzt wird. Wählt der Angreifer als Ziel (target-Parameter) des Formulars einen unsichtbaren Frame oder Inlineframe, sind auch hier die Chancen gering, dass das Opfer den Angriff bemerkt. (http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery#Nur_HTTP-Post_akzeptieren)

Was mich aber interessieren würde, ist ob TYPO3 Funktionen bereitstellt um Canaries in Formulare einzufügen.

]]>