| Home | Hilfe | Add-Ons | Templates | Spenden | Impressum | Datenschutz |

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

Pages: 1

#1 06.03.2017 20:25:53

evaki
Guest

Mögliche Sicherheitsprobleme DLG/MiniForm

Die Site läuft wieder, und wir hoffen lange und störungsfrei.
Zwei Module fielen und fallen aktuell auf (haben nichts mit dem Hack zu tun.).
Korrektur: DLG2.61 könnte zum Hack begetragen haben.

Miniform
Dummerweise ohne Stop-Schild (z.B. Captcha).

[== Website-Test ==]
[MÖGLICHERWEISE] Cross-site Request Forgery Detected

Test identified a possible Cross-Site Request Forgery.

CSRF is a very common vulnerability. It's an attack which forces a user to execute unwanted actions on a web application in which the user is currently authenticated.

Impact
Depending on the application, an attacker can mount any of the actions that can be done by the user such as adding a user, modifying content, deleting data. All the functionality that’s available to the victim can be used by the attacker. Only exception to this rule is a page that requires extra information that only the legitimate user can know (such as user’s password).
Remedy
Send additional information in each HTTP request that can be used to determine whether the request came from an authorized source. This "validation token" should be hard to guess for attacker who does not already have access to the user's account. If a request is missing a validation token or the token does not match the expected value, the server should reject the request.

If you are posting form in ajax request, custom HTTP headers can be used to prevent CSRF because the browser prevents sites from sending custom HTTP headers to another site but allows sites to send custom HTTP headers to themselves using XMLHttpRequest.

For native XMLHttpRequest (XHR) object in JavaScript;
xhr = new XMLHttpRequest();
xhr.setRequestHeader('custom-header', 'value');

For JQuery, if you want to add a custom header (or set of headers) to
a. individual request

$.ajax({
    url: 'foo/bar',
    headers: { 'x-my-custom-header': 'some value' }
});

b. every request

$.ajaxSetup({
    headers: { 'x-my-custom-header': 'some value' }
});

OR

$.ajaxSetup({
    beforeSend: function(xhr) {
        xhr.setRequestHeader('x-my-custom-header', 'some value');
    }
});

External References
OWASP Cross-Site Request Forgery (CSRF)
Remedy References
OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet

Downloadgallery

[== Website-Test ==]
Session token in URL:
This application contains a session token in the query parameters. A session token is sensitive information and should not be stored in the URL. URLs could be logged or leaked via the Referer header.
Affected items
/wbce/modules/download_gallery/dlc.php (194c0ec038b84a46148400ed302fc268)
/wbce/modules/download_gallery/dlc.php (61d254a636ce99575978bdd784261f1f)
/wbce/modules/download_gallery/dlc.php (fdbe13bb78a4b649a4e3b4968783d6ce)
/wbce/modules/download_gallery/dlca3ce.php (3f1de1119b52827c57e49729ace531f8)

The impact of this vulnerability
Possible sensitive information disclosure.

How to fix this vulnerability
The session should be maintained using cookies (or hidden input fields).
===========================================
Auswahl (1 aus xxx):
Vulnerability description
This application contains a session token in the query parameters. A session token is sensitive information and should not be stored in the URL. URLs could be logged or leaked via the Referer header.
This vulnerability affects /wbce/modules/download_gallery/dlc.php (194c0ec038b84a46148400ed302fc268).
Discovered by: Crawler.
Attack details
http://www.domain.tld/wbce/modules/ … 923&sid=12
===========================================

Das muß man doch noch sagen dürfen  big_smile  big_smile  big_smile

MfG. Evaki

Last edited by evaki (07.03.2017 16:49:14)

#2 07.03.2017 10:23:54

florian
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

@evaki Kannst Du Dich zu den festgestellten möglichen angreifbaren Modulen bitte direkt mit norhei/cwsoft in Verbindung setzen?
Welche Modulversionen von miniform und DLG sind das jeweils?

Wir Benötigen: Cents, Euros... jetzt spenden!

Offline

#3 07.03.2017 11:08:10

evaki
Guest

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

>>Download Gallery 2:  (Version 2.61)
Die hatte ich mal gefixt (folgende dann 2.65/6x/6x wenn ich nicht irre) und schien danach ok zu sein.
Außerdem gibts den Nachfolger 3.0 von Webbird.
Also, wenns gebraucht wird, dann updaten.

Edit: Betreff Miniform ist an Norbert raus.
MfG. Evaki

Last edited by evaki (07.03.2017 11:29:56)

#4 07.03.2017 12:03:09

florian
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Ich hab das mal aus dem Ursprungsthread rausgelöst.
Die DLG ist irgendwie versandet, scheint mir. Es gibt eine 2.6.6, die aber wohl nur bedingt dazu geeignet ist, als Update für die 2.6.1 zu dienen, weil die Layouteinstellungen beim Update verloren gehen; und die 3.x hat auch noch kleinere Bugs und kein Update-Script.

Wir Benötigen: Cents, Euros... jetzt spenden!

Offline

#5 07.03.2017 12:17:31

evaki
Guest

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

>>weil die Layouteinstellungen beim Update verloren gehen
Hatten das Thema, glaub ich schon mal.
Das Verhalten scheint bei diesem Modul möglicherweise schon immer so gewesen zu sein, so daß nur die Dateien überschrieben wurden, und gut wars. Ein Kommentar bezog sich -glaub ich- sogar darauf: "läuft".
Wenn anners, dann müßte sich jemand um das update/upgrad-script kümmern, und ich nochmal um den Sicherheitspatch. Der funktioniert so gut, so daß ein Feature dabei verloren ging, ein anderes aber wieder hervorkam yikes
MfG. Evaki

Last edited by evaki (07.03.2017 12:20:28)

#6 07.03.2017 12:51:59

florian
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Hättest Du die gepatchte Version der DLG 2.6.6 für mich? Ich habe im Modulthread den Überblick verloren und würde dann gern die gegen die 2.6.1 im AOR tauschen.

Wir Benötigen: Cents, Euros... jetzt spenden!

Offline

#7 07.03.2017 13:15:03

evaki
Guest

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Nach Postempfang und Mittagspause guck' ich ins Archiv
MfG. Evaki

Liked by:

florian

#8 07.03.2017 13:39:23

evaki
Guest

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Mail mit 2.65/2.66 ist raus

Wenn ichs richtig verstanden habe, soll die letzte Version auch das Problem nit dem Update lösen.
Kannst ja mal testen und mitteilen "was geht"  lol
Mfg. Evaki

Last edited by evaki (07.03.2017 13:44:48)

#9 07.03.2017 14:32:39

florian
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Danke.

DLG 2.6.6 im AOR verfügbar
http://addons.wbce.org/pages/addons.php?do=item&item=24

Wir Benötigen: Cents, Euros... jetzt spenden!

Offline

#10 07.03.2017 15:21:14

webbird
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Äh, was hat die DLG 3 genau für ein Problem? Bin grad etwas verwirrt...

Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#11 07.03.2017 15:51:23

florian
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Äh, was hat die DLG 3 genau für ein Problem?

https://forum.wbce.org/viewtopic.php?pid=8283#p8283

Wir Benötigen: Cents, Euros... jetzt spenden!

Offline

#12 07.03.2017 16:36:45

webbird
Administrator

Re: Mögliche Sicherheitsprobleme DLG/MiniForm

Danke

Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

Pages: 1

Board footer

up