Összefoglaló
A TYPO3 sérülékenysége vált ismertté, amelyet kihasználva a támadók XSS támadásokat hajthatnak végre.
Leírás
A támadó speciálisan formázott URL segítségével tud JavaScript kódot futtatni az áldozat böngészőjének munkamenetében. Pl. megszerezheti a munkamenethez kötődő sütiket.
Az TYPO3 keretrendszerben az XSS támadások megakadályozására készült RemoveXSS.php szűrő kijátszható.
A szűrő feketelista módszeren alapul, amelyben a nem engedélyezett tevékenységeket lehet megadni.
A feketelista használata helyett a bemeneti adatok megfelelő ellenőrzése és a kimenet escape-elése ajánlott.
Csak a RemoveXSS.php funkcionalitását használó alkalmazások érintettek.
Megoldás
Ne használja a RemoveXSS.php funkcionalitást.
Ellenőrizze a felhasználói bemeneti adatokat, biztosítva, hogy csak
megengedett karakterek szerepelnek benne, “whitelist” alapján.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: packetstormsecurity.com