Entries Tagged as ''

Aktuelles zu: Typo3/Extensions und XSS

Vor knapp einer Woche hat Korrupt von gulli.com und habe ich eine Email an Kasper Skårhøj geschrieben, um von ihm ein Statement zu XSS und Typo3 bzw. zu einer XSS-Lücke in der Extension “tipafriend” zu bekommen.

Außerdem hätten wir ihn gerne zu Lösungsansätzen zu diesem Thema befragt. Leider hat er bisher nicht geantwortet und deswegen hat Korrupt heute eine News zum Thema rausgehauen, obwohl er lieber erst auf einen Patch und ein Statement von Kaspers Seite bzw. von Typo3s Seite gewartet hätte.

Eigentlich sehr schade. Aber vielleicht kommt ja doch noch was aus dieser Richtung. (Hintergründe, siehe auch hier)

Tags: Allgemeines von davadda
1 Comment »

XSS – Cross site scripting – Problematik bei typo3/tipafriend

In wie weit das Problem bei den Extensions von Typo3 verbreitet ist kann ich zur Zeit noch nicht sagen. Allerdings besteht es auf jeden Fall bei der Extension tipafriend. Ein Besucher von gulli.com hat uns darauf hingewiesen, dass man HTML-Skripte/Tags über den GET-Parameter “tipUrl” in das Skript schleusen und auf der Formularseite ausgeben lassen kann, da der GET-Parameter direkt wieder ins Template geparsed wird, ohne dass auf falschen Inhalt überprüft wird (XSS – Cross site scripting).

Ich habe das Problem behoben und zusätzlich ein weiteres kleineres entfernt. Es war bis jetzt möglich Jede beliebige Website-Url über unsere Tipafriend-Funktion an andere per Mail zu verschicken, was bei manchen Websiten bzw. deren Inhalt sehr unschön ist. Deswegen habe ich eine Überprüfung auf die richtige Domain eingebaut, um auszuschließen, dass das weiterhin möglich ist. Bei falscher Domain, wird die “tipUrl” nun einfach auf “http://www.gulli.com” geändert. [Read more →]

Tags: Allgemeines von davadda
3 Comments »