21. Januar 2011

TYPO3 4.5 – CSRF-Schutz

in Releases, Security, TYPO3

Ein Feature der Version 4.5 ist ein Schutz vor CSRF = Cross Site Request Forgery. Im Optimalfall wirst du davon nichts mitbekommen.

CSRF kann genützt werden, um bestimmte Befehle ausführen zulassen ohne dafür selbst die Berechtigung zu haben. Es reicht wenn der Angegriffene dafür die Rechte besitzt und auf einen bestimmten Link klickt.

Die Funktionsweise ist eigentlich ziemlich simpel: Wenn ein Benutzer auf den Link www.domain.at/delete.php?id=123, wird zB ein Datensatz mit der ID 123 gelöscht, sofern der User die notwendigen Rechte dafür hat. Bin ich der Angreifer, habe ich normalerweise dafür nicht die notwendigen Rechte, daher muss ich nur jemanden finden, bei dem das anders ist und ihn dazu bringen, den Link anzuklicken. Beispiele gibt es dazu viele:

  • Link in Mails, Foren, die zB die Form haben wie <a href=“<Zielseite>“>Fotos meines neuen Hundes</a>
  • Eine gehackte Seite, auf der der Link im Hintergrund automatisch via JS geladen wird

CSRF funktioniert nicht nur mit einfachen Links, sondern auch mit Formularen, da die Vorgehensweise hier eine ähnliche ist: Der Angreifer leitet den User auf eine eigene Seite, auf der das Formular mit den notwendigen Feldern vorbereitet ist und schickt dieses automatisch (zB via JavaScript) ab.

Wie kann man sich davor schützen

Eine Vorgehensweise, wie sie auch bei TYPO3 eingesetzt wird, besteht darin, mit jedem Formular auch einen generierten Token zu übergeben. Pro Formularaufruf wird dieser Token neu erstellt und dieser passt auch nur zu diesem Formular und zu keinem anderen.

Auf der Zielseite wird der Token überprüft und gleichzeitig entwertet. Dadurch ist jeder Token nur 1x gültig.

Spezielles zu TYPo3

Seit mehreren Wochen ist in den Benutzereinstellungen und im Installtool der CSRF-Schutz aktiv. Seit gestern wurden die Bereiche um die Dateneingabe über das Seiten- und Listenmodul ergänzt. Es kann sein, dass noch nicht das vollständige Backend abgedeckt ist, das wird aber nachgeholt.

Wichtig ist: Wenn wer TYPO3 4-5 testet und auf eine Fehlermeldung stößt, die lautet
„Invalid Security Token (ExtDirect)“ oder „Validating the security token of this form has failed. Please reload the form and submit it again.“, bitte dies im Bugtracker melden sofern das nicht bereits geschehen ist.

11 Reaktionen zu “TYPO3 4.5 – CSRF-Schutz”

Kommentare abonnieren (RSS) oder TrackBack URL

Super. Danke.
Kann ich die Token API auch in FE Plugins nutzen?

Steffen Müller am 21. Januar 2011 um 17:32

Hey Steffen,

solltest du Formulare via Extbase/Fluid generieren lassen ist diese Art Schutz automatisch dabei. Hier wird dem „form“ dieser hash hinzugefügt.

Sascha am 21. Januar 2011 um 20:00

@Steffen: Es wird auch eine Implementierung für das FE geben, aber wohl nicht mehr für die 4.5.0, eher 4.5.1

Georg Ringer am 24. Januar 2011 um 08:40

Hi Georg,
könnte es sein das wegen CSRF unsere externen php scripte nicht mehr funktionieren? Wäre dankbar über eine kurze Antwort!

Andy am 29. Januar 2011 um 11:13

@Andy: Eher unwahrscheinlich aber ich weiß ja nicht was eure PHP-Scripte machen … Ansonsten zum kurz testen unter t3lib/formprotection/class.t3lib_formprotection_abstact.php > function validateToken() mal ein return TRUE rein.

Georg Ringer am 31. Januar 2011 um 08:17

Hi Georg,
Copy & Paste funktioniert nicht mehr.
Kann man das CSRF irgenwie vorübergehend abschalten?

Micha

Micha am 04. Februar 2011 um 21:15

siehe einen beitrag zuvor 😉

Georg Ringer am 07. Februar 2011 um 07:08

bei mir wird grafischer Text nicht dargestellt.
Rufe ich unter Installation – Image Processing die Funktion „GD library functions“ auf wir hier der Text auch nicht dargestellt.
Nach dem Umstellen des Parameters
[im_imvMaskState]=1
erscheint der Text im ‚Image Processing‘ aber nicht bei mir.
und zusätzlich kommt beim Anklicken von Template – Seite folgende Fehlermeldung:
ExtDirect: Invalid Security Token!

Backtrace:

#0 [internal function]: t3lib_extjs_ExtDirectRouter->route(Array, Object(TYPO3AJAX))
#1 C:\xampp\htdocs\DS1\t3lib\class.t3lib_div.php(5134): call_user_func_array(Array, Array)
#2 C:\xampp\htdocs\DS1\typo3\ajax.php(73): t3lib_div::callUserFunction(‚t3lib/extjs/cla…‘, Array, Object(TYPO3AJAX), false, true)
#3 {main}

Dieter Sander am 08. Februar 2011 um 10:08
Trackbacks & Pingbacks

[…] Article by Georg Ringer, in German […]

Pingback von Protection against Cross Site Request Forgery with TYPO3 version 4.5 | Main Pen Rai am 22. Januar 2011 um 13:40

[…] Ursache der Fehlermeldung ist, dass in TYPO3 4.5 ein neuer Schutz gegen Cross Site Request Forgery (CSFR) eingeführt wurde. Georg hat darüber an dieser Stelle bereits im Januar berichtet. […]

Pingback von Probleme mit dem Sicherheitstoken nach Update auf TYPO3 4.5 | TYPO3 Blogger am 26. April 2011 um 09:15

[…] Eine ausführliche und gute Erklärung zu diesem speziellen Feature wurde von Georg Ringer auf http://www.typo3blogger.de […]

Pingback von TYPO3 4.5 mit Long Term Support veröffentlicht! › Mittwald Blog: Webhosting, CMS, E-Commerce am 28. Januar 2015 um 10:23

Kategorien

Archiv