Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Die TipaFriend-Extention in Typo3 erlaubt eigentlich, eine Webseite per Mail zu verschicken. Fehlende Überprüfung der eingegebenen Daten eröffnen jedoch auch weitere Möglichkeiten: in das Eingabefeld kann ebenso auch Code eingegeben werden, der bei Aufruf der entsprechenden URL ausgeführt wird. Möglich wird so beispielsweise das Faken eines Loginscreens, das Auslesen und Versenden von Cookies und damit der Entführung von Benutzeraccounts. Durch das Mitversenden beliebigen HTML-Codes kann die angegriffene Site weitgehend beliebig verändert werden.
Typo3-Entwickler Kasper Skårhøj ist das Problem bekannt, die Entwicklung von Extensions für Typo3 läuft in diesem Bereich jedoch sehr autonom ab: für das Fixing sind die Entwickler der Extensions selber zuständig.
Das Problem im Fall TipAFriend kann durch das Ersetzen der Zeile
$url = t3lib_div::_GP('tipUrl');
in der Funktion "Tipform" durch
$url = strip_tags(trim(stripslashes(t3lib_div::_GP('tipUrl'))));
gelöst werden.
Unschön ist, dass das Problem auch zentral über Typo3 gelöst werden könnte. Eine entsprechende Überprüfung von Get-Parametern ist jedoch auch in der kürzlich erschienenen 4.0 nicht implementiert. gulli.com verwendet aktuell die Typo3 - Version 3.8.0. Das Fehlen einer zentralen Absicherung gegen die XSS-Angriffsmöglichkeiten legt weiterhin nahe, dass auch andere Extensions von Typo3 von dem Problem betroffen sein könnten. Die Verwundbarkeit konnten wir auf zahlreichen bekannten Seiten nachvollziehen, TipAFriend wurde allein in der aktuellen Version 1.2.1 bereits knappe 8.000 mal heruntergeladen.
(Mit Dank an Alf für den Hinweis auf die Sicherheitslücke)
News Redaktion am Donnerstag, 31.08.2006 11:18 Uhr
Tags:
xss
cross-site-scripting
typo3
tipafriend
security
Julian Wolf am 27.05.2012, 21:08 Uhr
Die amerikanische Fluglinie „American Airlines“ muss sich aktuell gegen Vorwürfe wehren, das Unternehmen benachteilige Kunden mit bestimmten moralischen Ansichten. Weil eine Passagierin auf ihrem T-Shirt den Spruch „If I wanted the government in my womb, I’d f*ck a senator“ trug, konnte sie nicht an Bord ihres Anschlussfliegers.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
