Freitag, 16. März 2012

Framesniffing Sicherheitslücke in SharePoint 2007 / 2010

In SharePoint 2007 und 2010 gibt es derzeit noch eine Framesniffing Sicherheitslücke. Das ganze funktioniert mit der Einbindung eines konventionellen iFrames. Durch die Ausnutzung einer solchen Lücke könnte man z.B. Logindaten herausfiltern. Als Administrator kann man das Thema recht einfach und schnell unterbinden.

So einfach können Sie die Sicherheitslücke schließen:

IIS-Konfiguration: IIS-Manager öffnen und das Icon "HTTP Response Header" suchen.
IIS-Konfiguration: IIS-Manager öffnen und das Icon "HTTP Response Header" suchen.
Foto: Context Information Security
Mit wenigen Konfigurations-Änderungen kann der Angriff verhindet werden. Der Webserver muss nur so konfiguriert werden den X-Frame-Options HTTP Header zu senden. Damit schlagen Sie gleich zwei Fliegen mit einer Klappe, da Clickjacking somit auch gleich unterbunden wird.

IIS-Konfiguration: Hinzufügen von X-Frame-Options als Name und SAMEORIGIN als Wert.
IIS-Konfiguration: Hinzufügen von X-Frame-Options als Name und SAMEORIGIN als Wert.
Foto: Context Information Security
In Internet Information Server 7 (IIS) öffnen Sie den IIS Manager und suchen sich dann die entsprechende Webseite. Ein Doppelklick auf HTTP Response Headers und dann ein Hinzufügen von X-Frame-Options als Name und SAMEORIGIN als Wert ist die ganze Magie.

Herausgefunden haben das Problem übrigens die Experten von Context Information Security in Ihrem Blog: http://www.contextis.com/research/blog/framesniffing/

Keine Kommentare:

Kommentar veröffentlichen