Cross-Site Scripting (XSS) ist ein wachsendes Problem im Netz: wenn eine Applikation eingegebenen Daten zu umfassend vertraut, kann sie dazu gebracht werden, ungewünschte Aktionen durchzuführen. In Typo3 konnte auf Gulli.com nun eine solche Lücke gefixt werden, die in entsprechenden Anwendungen von der Accountentführung bis hin zum Phishing beunruhigende Möglichkeiten schafft.

Die TipaFriend-Extention in Typo3 erlaubt eigentlich, eine Webseite per Mail zu verschicken. Fehlende Überprüfung der eingegebenen Daten eröffnen jedoch auch weitere Möglichkeiten: in das Eingabefeld kann ebenso auch Code eingegeben werden, der bei Aufruf der entsprechenden URL ausgeführt wird. Möglich wird so beispielsweise das Faken eines Loginscreens, das Auslesen und Versenden von Cookies und damit der Entführung von Benutzeraccounts. Durch das Mitversenden beliebigen HTML-Codes kann die angegriffene Site weitgehend beliebig verändert werden.
Typo3-Entwickler

weiterlesen