Cross Site Resource Forgery

Begonnen von rudolfkoenig, 10 August 2014, 16:08:13

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

rudolfkoenig

10 August 2014, 16:08:13 Letzte Bearbeitung: 10 August 2014, 16:12:43 von rudolfkoenig
Christoph (seines Zeichens IT Security Specialist) hat mich noch in Januar darauf aufmerksam gemacht, dass FHEMWEB fuer CSRF Angriffe offen ist.

Kurze Erklaerung (so wie ich CSRF verstanden habe): man modifiziert z.Bsp. in der fhemwiki ein Bild(!) so, dass die Quelle "http://fritz.box:8083/fhem?cmd=set .* on" ist. Wenn man diese Seite besucht, und FHEM auf der FritzBox installiert ist, dann sind ploetzlich alle Schalter an. Dagegen hilft ein FHEMWEB-Passwort nicht, da der Browser das gemerkte Passwort auch bei einem Aufruf von der fremden Seite automatisch mitschickt.

Ich habe jetzt FHEMWEB mit dem csrfToken Attribut erweitert. Falls gesetzt, dann ist bei jedem HTTP Aufruf ein fwcsrf Parameter mit korrekten Inhalt zu spezifizieren. Das ist zwar auch zu hacken, ist aber mAn etwas aufwendiger als ohne. Ich habe FHEMWEB und die mitgelieferten JavaScripten so angepasst, dass sie dieses Attribut mitschicken, FLOORPLAN ist aber vermutlich noch zu aendern.

Falls jemand Bugs findet, der sollte es hier melden, und auch, falls man das Problem sicherer/besser loesen kann.
Drucken
Nach oben Seiten1
Benutzer-Aktionen