{"id":3607,"date":"2012-03-13T20:16:24","date_gmt":"2012-03-13T19:16:24","guid":{"rendered":"http:\/\/www.cms-content-migration.de\/?p=674"},"modified":"2016-04-20T06:19:10","modified_gmt":"2016-04-20T04:19:10","slug":"context-warnt-vor-framesniffing-angriffen-gegen-sharepoint","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2012\/03\/context-warnt-vor-framesniffing-angriffen-gegen-sharepoint\/","title":{"rendered":"Context warnt vor Framesniffing-Angriffen gegen Sharepoint"},"content":{"rendered":"<div class=\"teaserimg\"><img loading=\"lazy\" decoding=\"async\" src=\"\/_imag\/update-now-sharepoint.png\" alt=\"Update NOW!\" title=\"Update NOW!\" width=\"60\" height=\"45\" class=\"alignleft\" \/><\/div>\n<div><strong class=\"abstract\">Das britische Sicherheitsunternehmen Context Information Security warnt vor m\u00f6glichen Framesniffing-Angriffen gegen Sharepoint 2007 und Sharepoint 2010. In einem Blog-Beitrag erl\u00e4utert das Unternehmen den Angriffsmechanismus und beschreibt m\u00f6gliche Gegenma\u00dfnahmen. <!--more--><\/strong><\/div>\n<h2>Framesniffing-Angriffe<\/h2>\n<p>Wie der Blog-Post von <a href=\"http:\/\/www.contextis.com\/\" target=\"_blank\" rel=\"nofollow\">Context<\/a> beschreibt, wird beim Framesniffing die anzugreifende Website mittels eines Inlineframes im Webspace-Kontext des Angreifers geladen. In der Folge kann (mit einigen Browsern) versuchsweise nach beispielsweise bestimmten HTML-Ankern der Zielplattform gesucht werden, um auf diese Weise sensible Informationen auszulesen. Der genaue Ablauf eines solchen Angriffs wird auf der <a href=\"http:\/\/www.contextis.com\/research\/blog\/framesniffing\/\" target=\"_blank\" rel=\"nofollow\">Website<\/a> von Context detailliert beschrieben und anhand eines <a href=\"http:\/\/media.contextis.co.uk\/framesniffing\/sharepoint-frameleak.webm\" target=\"_blank\" rel=\"nofollow\">Videos<\/a> verdeutlicht.<\/p>\n<h2>Verwundbare Ziele<\/h2>\n<p>Der Context-Analyse zufolge ist neben Sharepoint 2007 und 2010 auch LinkedIn verwundbar. Der Grund daf\u00fcr liegt in einer fehlenden Absicherung gegen das Laden in fremden Frames, zum Beispiel in einem fehlenden X-Frame-Options HTTP Header<sup><a href=\"#footnote1\">1<\/a><\/sup>. Microsoft, von Context \u00fcber die Sicherheitsl\u00fccke informiert, wird mit \u201eWir bem\u00fchen uns, die X-Frame Options in der n\u00e4chsten SharePoint Version standardm\u00e4\u00dfig zu implementieren.\u201d als Antwort zitiert. Sharepoint 2007 und 2010 setzen out-of-the-box die X-Frame Options derzeit nicht. Context beschreibt auf der oben genannten Webseite nachvollziehbar, wie Admins vorgehen k\u00f6nnen, um Framesniffing-Angriffe selbst zu unterbinden.<\/p>\n<hr \/>\n<p><a name=\"footnote1\"><\/a>Fu\u00dfnote 1:<br \/>\nDer HTTP-Header \u201eX-Frame-Options: deny\u201d verhindern das Rendern in einem Frame, \u201eX-Frame-Options: sameorigin\u201d erlaubt das Rendern nur in Frames gleicher Herkunft. X-Frame-Options wird gew\u00f6hnlich verwendet, um Clickjacking zu erschweren. Die Option ist jedoch kein zuverl\u00e4ssiges Instrument, da nicht alle gegenw\u00e4rtig aktuellen Browser die Anweisung befolgen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das britische Sicherheitsunternehmen Context Information Security warnt vor m\u00f6glichen Framesniffing-Angriffen gegen Sharepoint 2007 und Sharepoint 2010. In einem Blog-Beitrag erl\u00e4utert das Unternehmen den Angriffsmechanismus und beschreibt m\u00f6gliche Gegenma\u00dfnahmen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[278,279],"tags":[11,244,318,390,418,419],"class_list":["post-3607","post","type-post","status-publish","format-standard","hentry","category-cms-news","category-cms-sicherheitswarnungen","tag-cms","tag-content-management-systeme","tag-enterprise-cms","tag-sharepoint","tag-wcm","tag-web-content-management"],"_links":{"self":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/3607","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/comments?post=3607"}],"version-history":[{"count":1,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/3607\/revisions"}],"predecessor-version":[{"id":3879,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/posts\/3607\/revisions\/3879"}],"wp:attachment":[{"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/media?parent=3607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/categories?post=3607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.media-deluxe.de\/blog\/wp-json\/wp\/v2\/tags?post=3607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}