The Turkey Curse
fukamis terror chatroom

CSRF, die X-te

Pungenday, 70th Discord, 3173.

Durch einen [Eintrag][eintrag] im [Blog von Ronald van den Heetkamp][blog] ist mir einmal mehr klar geworden, daß die meisten Leute [CSRF-Probleme][csrf] total unterschätzen. Während CSRF-Logouts in den allermeisten Fällen eher einfach nur ärgerlich sind, gibt es wesentlich fiesere Beispiele. Ronald postet in seinem Blog beispielsweise ein CSRF, das es echt in sich hat wie ich finde. Damit kann man einen Google AdSense-Account übernehmen (die Bestätigung wird an die neue Adresse gesendet):

[script src=&https://www.google.com/accounts/UpdateEmail?service=adsense&Email=mymail@newmail.net&Passwd=cool&save=][/script]

Scary.

Ein anderes schönes Beispiel demonstriere ich jetzt mal “in echt”:

Wie sie sehen sehen sie nix. Das “Bild”, das da nicht gefunden wird, ist ein Link auf eine Google-Suche:

[img src=”http://www.google.de/search?q=dussmann” height=100 width=100 border=1 /]

Warum das ein Problem darstellen sollte? Nun, [Telepolis][tp] (und ein Haufen anderer Ressourcen) berichten über Hausdurchsuchungen bei Leuten, die nach dem Begriff “Dussmann” gegoogelt haben. Man braucht nur wenig Phantasie um sich auch andere Begriffe vorzustellen, nach denen man User bei einem Besuch der Seite in einer Suchmaschine der Wahl automatisch suchen lassen kann.

Bei der Gelegenheit fällt mir wieder eine Geschichte ein, die mir Roberto von Zone-H erzählt hat. In Italien gibt es, genau wie in Deutschland, das Glücksspielspielmonopol des Staates. Dazu gibt es ein Gesetz, das den Besuch von Online-Glückspielseiten verbietet, die nicht unter der Aufsicht der entsprechenden italienischen Behörde sind und die Provider dazu verpflichtet, einen Request auf eine solche Seite vollautomatisch an die Steuerbehörden zu melden (dazu musste die Telecom Italia rund 400 Millionen Euro aufwenden). Auch hier gehört nur wenig dazu, beispielsweise Konkurrenten, von denen man oftmals weiß aus welchen Netz sie kommen, dazu zu bringen, eine solche Seite über diesen Trick aufzurufen und ihnen die Steuerbehörde auf den Hals zu hetzen.

Jedenfalls bin ich mir sicher, daß wir noch ewig mit derlei Problemen werden leben müssen. Als Schutz auf Client-Seite bleibt wohl nur sowas wie [Request Rodeo][request rodeo].

Ryan Cartner hat bei Ronald übrigens eine [CSRF dork database][csrf-dork] eingerichtet, in der man solche Sachen zukünftig sammeln kann.

[eintrag]: http://www.0×000000.com/?i=309
[blog]: http://www.0×000000.com/
[tp]: http://www.heise.de/tp/r4/artikel/25/25318/1.html
[csrf]: http://de.wikipedia.org/wiki/CSRF
[csrf-dork]: http://csrf.0×000000.com/
[request rodeo]: http://www.nongnu.org/requestrodeo/

---

1 Comment »

  1. @CSRF Database: Bizarrerweise ist die CSRF database CSRF-bar ;) hab mit Ryan schon gesprochen - er will jetzt ein Math-CAPTCHA einbaun…

    Comment by .mario — Prickle-Prickle, 71st Discord, 3173. @ 67370

RSS feed for comments on this post.

Leave a comment



"I love deadlines. I like the whooshing sound they make as they fly by." - Douglas Adams

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.070 seconds.