Most Things Web

SEO and Web Security since 2006

SSEQ-LIB Security Update 0.6.3 and 0.6.3.1

von · Veröffentlicht · Aktualisiert

I am so sorry!

While redesigning the CSRF-tokens check routines I made a mistake in SSEQ-LIB version 0.6.2. I checked the name of the token but I forgot to check its value. This means that knowing the name of a token is enough to pass the CSRF protection. Fortunately there are still other protection mechanisms like absolute lifetime of a token or its binding to the users-agent which keep the shields up for a while.

Anyway in the new version 0.6.3 (and 0.6.3.1) the bug is fixed. Besides, the difference between 0.6.3 and 0.6.3.1 is minor and located only in the config file.

Credit for finding the bug goes to Andreas Mauf.

Themenverwandt:

  1. Online Shop „xtc:Modified“ (Beta) 1.02 mit SSEQ-LIB [UPDATE] (9.5) Heute ist der Open Source Onlineshop xtc:Modified (Beta) 1.02 vom...
  2. Wir brauchen „Free Security Audit“! (8.9) Stefan Esser, dessen Arbeit ich mit Interesse verfolge, hilft, Sicherheitsschwachstellen...
  3. SSEQ-LIB: Version 0.5.0 (8.9) Was ist SSEQ-LIB? SSEQ-LIB ist eine Sammlung aktueller Funktionen, die...
  4. Sicherheitsupdate: PHP SSEQ-LIB 0.4.5 (8.7) Änderungen: Die SSEQ-LIB-Funktionen „SEQ_EMAIL“ und „SEQ_HEADER“ implementieren jetzt die Filterung...
  5. Cross Site Scripting trotz htmlentities() [UPDATE] (8.3) Die PHP-Funktion htmlentities() soll vor Cross Site Scripting Angriffen schützen,...

Schlagwörter:

Das könnte dich auch interessieren …