Um seine eigene Erweiterung bzw. das komplette Joomla vor “Cross Site Request Forgery” (CSRF) Attacken zu schützen, stellt Joomla 1.5 die Funktion form.token bereit, die in die eigenen Formulare eingebaut werden kann/sollte.

Was ist eine CSRF-Attacke?

Eine Cross-Site Request Forgery (zu deutsch etwa „Site-übergreifende Aufruf-Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er bedient sich dazu eines Opfers, das ein berechtigter Benutzer der Webanwendung sein muss. Mit technischen Maßnahmen oder zwischenmenschlicher Überredungskunst wird hierzu aus dem Webbrowser des Opfers ohne dessen Wissen und Einverständnis ein kompromittierter HTTP-Request an die Webanwendung abgesetzt. Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt. … Quelle: Wikipedia

Wie funktioniert das “token”?

Ist die Funktion im Formular (POST-Methode) bzw. in einer URL (GET-Methode) definiert, wird beim Rendern der Seite eine zufällige Zeichenkette erzeugt. Wird nun das Formular abgesendet / die URL aufgerufen, wird geprüft, ob die übergebene Zeichenkette (das Token) mit der Zeichenkette übereinstimmt, die zuvor definiert wurde. Ist dies nicht der Fall, wird das Script mit Fehlermeldung abgebrochen.

Den ganzen Artikel lesen …

Tags:Collecting, Cross-Site Request Forgery, Csrf, Deutsch, Forgery, Formular Post, GetToken, Hypertext Transfer Protocol, Input Type, Joomla! 1.5, JUtility, Lt, Manipulation, Medals And Tokens, Quelle, Query String, Recreation, Sicherheit, Token, Uniform Resource Locator, Url, Wikipedia

(5 rating, 1 votes)

 Loading ...