Danke! Ich hab dir Detailinfos zu den nächsten Schritten per PN geschickt.
Zur Beruhigung der Allgemeinheit: das ausgenutzte Problem hat keinen Bezug zu Joomla, es handel sich um eine Lücke in LMO.
Hate nie gesagt, dass es an Joomla liegen würde. Ich habe Dir noch eine PN geschickt.
Sei so nett und schick mir die Infos des Reporters mal per PN oder Mail, ich würde mir das gerne mal anschauen. Die Lösung klingt eher nach Symptomverschleierung und nicht nach tatsächlicher Abhilfe.
Du hast Post
Kannst du das genauer erklären? Könnte das Problem auch andere Nutzer betreffen?
Ich wollte den LMO mittels include einem Beitrag einbinden. Da ist XSS möglich. Da ich alle Patches des LMO installiert habe, setze ich nun auf die altmodische Methode mit iframe 
Das Problem sollte sich nun erledigt haben. Es lag an einer "unglücklichen" Einbindung des LMO.
Danke für Eure Unterstützung.
Sicherheitslücken sollten schnellstmöglich behoben werden. Die Sicherheitsfixes werden dann veröffentlich und sollten zeitnah eingespielt werden. Gerade in Open-Source-Systemen ist das besonders wichtig. Leider gibt es zu viele Webseiten-Betreiber, die meinen sich Updates ersparen zu können, weil die Webseite doch einwandfrei läuft. Natürlich wird das ausgenutzt.
da stimme ich Dir 100%ig zu
Ich habe regelmäßig selber die Freude, Sicherheitslücken reporten zu dürfen und leider ist es der Regelfall dass man, insbesondere von Betreibern mit weniger Berührungspunkten zur Thematik, genau 3 Sorten von Reaktionen bekommt:
- 1. Garkeine Reaktion
- 2. Beleidigungen
- 3. Anzeigen
Insofern kann ich jeden Reporter verstehen, der eine entsprechende "Moderationsplattform" verwendet, um eine initiale Aufmerksamkeit zu bekommen und die seriösen Intentionen, die man verfolgt, zu unterstreichen.
Du hast genau zwei Fragen gestellt, nämlich ob wir was unternehmen würden und wenn ja was. Ich dachte ich hätte das implizit getan, beantworte dir die Fragen natürlich gerne nochmal ganz explizit: Ich würde den Reporter kontaktieren und um Details bitten.
Das wirst du den Kollegen wohl selber fragen müssen, in 95% der Fälle die mir unterkommen, werden automatisierte Prüftools verwendet
Wekche Prüftools gibt es?
Wäre aber für uns interessant.
in welcher Form interessant? christine2 hatte eine Seite empfohlen, wo bekannte Erweiterungen mit ihren Schwachstellen gelistet sind.
Wenn der "Reporter" sich garnicht oder unzureichend melden sollte, werde ich hier eine Liste posten.
SniperSister aber einen Versuch den Betreiber zu informieren, sollte man schon unternehmen.
Leider konnte ich von Deinen vorherigen Posts keine Hilfe entnehmen.
Wie ich in meinem letzten Post geschrieben habe, ist der "Reporter" kontaktiert.
Andreas24 Wie testet man eine Seite auf Cross Site Scripting
Das "Offenlehen der vermeintluchen Lücke" kann man doch beim.Betreiber der betroffenen Seite machen, oder?
Nach der Frist wird, es im ganzwn Qeb veröffentlicht, dann können Kriminelle es doch auch ausnutzen, oder?
Der Reseacher ist kontaktiert. Mal sehen, ob und wenn was zurückkommt.
Je mehr Erweiterungen installiert sind, desto größer ist natürlich auch das Potenzial für Sicherheitslücken. Darum sollte man wirklich nur das installieren, was man braucht, und möglichst wenigen und seriösen Anbietern vertrauen.
Das behaupten beispielsweise alle Anbieter. Woher willst du wissen, dass keine Bedrohung für die Nutzer besteht? Das ist eine typische Standardfloskel der Anbieter und hört man immer wieder... bis das Ausmaß dann öffentlich wurde.
bitte richtig lesen. Ich schrieb, dass eine Bedrohung entstehen könnte. Dessen bin ich mur bewusst. Selbstverstäbdlich gehe ich davon, dass jeine Bedrohing besteht, ohne blind durchs Web zu flanieren.Deshalb meine Fragen hier im Forum.
Welche Drittanwendungen sind installiert?
Danke.
Ich habe den LMO zusätzlich installiert. Das sollte das XSS-Problem eigentlich gefixed sein.
Den Link den Christine2 genannt hat,habe ich durchgeschaut. Von den da aufgelisteten Erweiterungrn, habe uch keine installiert.
Alle Erweiterungen aufzuzählen, wäre eher zu viel.
Nichts hält dich davon ab, beim Melder nachzufragen, was das Finding ist - in der Regel sind die sehr kooperativ.
Damit andere Nutzer wissen, um welche Seiten sie im Zweifelsfalle besser einen Bogen machen, weil es dort ja dann offenkundig Sicherheitslücken gibt um die sich niemand kümmert.
Richtig kooperativ wäre es, sich an den Betreiber der Webseite zu wenden. Kontaktmöglichkeiten sind genügend vorhanden. Aber nein, man wendet sich an eine andere Webseite und sagt, dass man etwas weiß.
Oder anders gesagt: es mag auf dich wie eine Drohung wirken, aber im Security-Bereich ist es gelebte Best Practice: man meldet etwaige Sicherheitslücken immer erst an den Entwickler / Anbieter / Seitenbetreiber – und zwar entweder direkt, oder unter Zuhilfenahme solche Plattformen. Das erlaubt es den Verantwortlichen, eine Lücke zu beheben und erst danach wird die Lücke öffentlich. Das Verfahren nennt sich "Responsible Disclosure" und ist Industriestandard.
Es wutde eben nicht zuerst dem Betreiber /Entwuckler mitgeteilt. Genau das ist das Problem. Wenn ich due Lücke nicht kenne, kann ich sie nicht schließen! Da heißt noch lange nicht, dass sich niemand kümmert. Und eine Bedrohung für Nutzer gibt es nicht. Könnte aber durchaus entstehen. Um so wichtiger, dass man die Lücke benennt. Industriestand hin oder her, so hilft man niemanden. Im Zweifel aber sich selber.
SniperSister wenn ich sehe, dass du dich in Gefahr begibst und damit möglichweise auch andere gefährden könntest, melde ich das auch nicht jmd und schreibe dich an, im dir mitzuteilen, dass du und andere sich in Gefahr befinden. Und in 30 Tagen veröffentluche ich dann die Gefahr. Du kannst mich aber auch fragen, welche Gefahr besteht.
Nur weil etwas Standard ist, ist es nicht gut. Und noch eine Anmerkung, wie ist der Mensch auf die Schwachstelle gestoßen?
Du hast Dir viel Mühe gegeben, viel geschrieben. Aber leider wenug gesagt zj meinen Fragen.
Openbugbounty.org ist eine offene Plattform. Menschen, die eine Sicherheitslücke gefunden haben, können sich dort melden und die plattform wiederrum wendet sich an den Seitenbetreiber. Ob die Lücke valide ist und ob der Reporter für seine Arbeit Geld verlangt hängt vom Einzelfall ab, grundsätzlich ist an dem Modell aber weder etwas unseriös noch kriminell.
genau dieses gefunden haben, ist eben so eine Sache. Warum sagt man, dann nicht was man entdeckt hat? Warum erst nach 30 oder nach 90 Tagen veröffentlichen? Damit andere diese Schwachstelle ausnutzen können?
Hallo,
wir haben heute eine E-Mail von openbugbounty.org bekommen. Angeblich wurden durch "Sam Curran" Schwachstellen XSS (Cross Site Scripting) festgestellt.
Wenn man ihn kontaktiert, würde er die Schwachstellen offen legen und bei der Beseitigung mitwirken.
Klingt doch alles sehr unglaublich und "kriminell". Würden ihr etwas unternehmen? Wenn ja, was genau? Vielen Dank für Eure Unterstützung.
PS: Logins sind geändert. Hoster ist Informiert.
Beste Grüße, Johannes
#34 von Sieger66 ist genau der richtige Punkt.
Ich habe das Problem nachgestellt, er war aber schneller
Wenn ein Hauptbeitrag keinen oder einen versteckten Menüpunkt hat, wird die Vollansicht in die Startseite eingeblendet.
Wenn ein Hauptbeitrag zwar keinen "persönlichen" Menüeintrag hat, jedoch Mitglied eines Blogs mit Menütyp Kategorieblog ist,
dann wird die Vollansicht auf einer eigenen Seite angezeigt.Ute
Hatte ich so schon #43 bestätigt. Trotzdem danke uteS
Das von WM-Loose hast du offensichtlich falsch verstanden!
Lies bitte #34 nochmals und nutze die Links dort auch!
habe ich doch geschrieben, dass ich es falsch umgesetzt habe. Deinen Beitrag habe ich gelesen und umgesetzt, siehe #43
Wenn auf der Startseite Hauptbeiträge der Kategorie News angezeigt werden und der Artikel zur Kategorie "Artikel" gehört , wieso erscheint er auf der Startseite? Irgendwas passt nicht zusammen
Der Artikel sollte ja auch nicht auf der Startseite erscheinen. Die (Unter-)kategorie Artikel von News soll die vollständigen Beiträge anzeigen. Die Vorschau als Hauptbeitrag auf der Startseite.
Nein, das ist kein verstecktes Menü nach der Idee von WM-Loose !
Das ist ein versteckter Menüeintrag der aber keinerlei Wirkung haben kann solange er versteckt ist!
Das wäre das zusätzliche Menü nach der Idee von WM-Loose:
Dies braucht man aber nicht mehr wie ich dir in #34 am Ende verlinkt habe!
Doch es war schon bei mir so auf der Idee von WM-Loose in den Sinn gekommen.
Wenn auf der Startseite Hauptbeiträge der Kategorie News angezeigt werden und der Artikel zur Kategorie "Artikel" gehört , wieso erscheint er auf der Startseite? Irgendwas passt nicht zusammen
Jetzt funktioniert es. drmenzelit Du hattest es in #6 schon geschrieben. Leider hatte ich es nicht richtig interpretiert. Erst jetzt nach dem Beitrag #34 von Sieger66 und den Durcharbeiten von den Joomla Schattenmenüs habe ich es hinbekommen. Ich danke Euch allen bei der Lösungsfindung, besonders drmenzelit Sieger66 und WM-Loose
