Ergebnis 1 bis 2 von 2

Thema: Anfrage-Token deaktiviert. Wie gross ist das Sicherheitsrisiko?

  1. 01.04.2015, 14:56 #1
    Peter Friedhoff
    Peter Friedhoff ist offline
    Contao-Nutzer
    Registriert seit
    29.03.2011.
    Ort
    Dortmund
    Beiträge
    12

    Standard Anfrage-Token deaktiviert. Wie gross ist das Sicherheitsrisiko?

    Hallo.

    Ich betreue eine Webseite, welche Spenden generiert. Der Kunde hat dabei auf anderen Webseite iframes integriert, wo drin Spenden generiert werden (Formularabfragen, Zahlungsmethoden via API). Ist in Contao der Anfrage-Token aktiviert, kommt hin zu wieder die Fehler-Meldung "Anfrage-Token kann nicht validiert werden", aber nur im InternetExplorer (habe es mit IE 11 getestet). In anderen Browsern wie dem Firefox oder Chrome kommt die Fehlermeldung nicht.

    Nun ist der Anfrage-Token deaktiviert, dann funktioniert es auch im IE 11. Da es aber nun eine Sicherheitslücke gibt, habe ich die Frage, wie hoch ist das Risiko, wenn der Anfrage-Token deaktiviert ist?

    Ich fange einfach mal an.

    Ich denke, das nun ein Request, der nicht von der eigenen Webseite, also von Contao aus geht, verarbeitet werden kann, wenn der Token deaktiviert ist. Da aber zB bei den Spenden es "nur" Formularfelder sind, die auch validiert werden, das Risiko eigentlich nicht sehr hoch sein kann, oder? Das was also passieren kann, ist SPAM. Oder? Und das ein Request in einer Schleife von einem fremden Server immer wieder gestellt werden kann, oder? Also können sich in dem Fall meines Kunden nur Spenden erzeugen, die eigentlich keine sind. Richtig?

    Gibt es noch weitere Sicherheitsrisiken bezüglich des deaktivierten Anfrage-Tokens? (Ist ja eigentlich schon schlimm genung, das Anfrage von anderen Servern gestellt werden können )

    Vielen Dank schonmal Euch.

    Viele Grüße!
    Peter
    ZitierenZitieren
  2. 27.11.2015, 16:59 #2
    maipe
    maipe ist offline
    Contao-Nutzer Avatar von maipe
    Registriert seit
    10.07.2012.
    Ort
    München
    Beiträge
    201

    Standard

    Hallo Peter,

    ähnliches Problem bei mir auch - mit dem Token bei Paypal Spenden (ohne Iframe) sondern mit Rückleitung von der Paypalspendenseite. Die Rückleitung führt zu der Meldung

    Invalid request token!

    The request token could not be verified. Please go back and try again.

    This error occurs if there is a POST request without a valid authentication token. In Contao 2.10, the referer check has been replaced with a request token system. If the problem persists, you may be using an incompatible third-party extension or have not correctly updated your Contao installation.

    For more information, visit the Contao FAQ page or search the Contao forum.
    Gibts es da schon einen Workflow?
    ZitierenZitieren
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln