Hallo.
Ich betreue eine Webseite, welche Spenden generiert. Der Kunde hat dabei auf anderen Webseite iframes integriert, wo drin Spenden generiert werden (Formularabfragen, Zahlungsmethoden via API). Ist in Contao der Anfrage-Token aktiviert, kommt hin zu wieder die Fehler-Meldung "Anfrage-Token kann nicht validiert werden", aber nur im InternetExplorer (habe es mit IE 11 getestet). In anderen Browsern wie dem Firefox oder Chrome kommt die Fehlermeldung nicht.
Nun ist der Anfrage-Token deaktiviert, dann funktioniert es auch im IE 11. Da es aber nun eine Sicherheitslücke gibt, habe ich die Frage, wie hoch ist das Risiko, wenn der Anfrage-Token deaktiviert ist?
Ich fange einfach mal an.
Ich denke, das nun ein Request, der nicht von der eigenen Webseite, also von Contao aus geht, verarbeitet werden kann, wenn der Token deaktiviert ist. Da aber zB bei den Spenden es "nur" Formularfelder sind, die auch validiert werden, das Risiko eigentlich nicht sehr hoch sein kann, oder? Das was also passieren kann, ist SPAM. Oder? Und das ein Request in einer Schleife von einem fremden Server immer wieder gestellt werden kann, oder? Also können sich in dem Fall meines Kunden nur Spenden erzeugen, die eigentlich keine sind. Richtig?
Gibt es noch weitere Sicherheitsrisiken bezüglich des deaktivierten Anfrage-Tokens? (Ist ja eigentlich schon schlimm genung, das Anfrage von anderen Servern gestellt werden können )
Vielen Dank schonmal Euch.
Viele Grüße!
Peter
Lesezeichen