Til brugere af WordPress pluginet Elementor Contact Form DB

Der er offentliggjort et sikkerhedshul i ovennævnte plugin. Hullet gælder også for såkaldte "unauthorized sessions", hvilket betyder at man ikke behøver være logget på for at kunne udnytte fejlen.

Sikkerhedshullet er af typen CSRF, hvilket står for Cross Site Request Forgery. Det betyder at forespørgsler fra andre websites til dit website bliver accepteret ved at sætte programkode ind på steder, hvor det egentligt ikke burde kunne lade sig gøre.

Det er derfor en rigtig god idé (læs: det er en rigtig dum plan ikke at gøre det) at opdatere plugin'et, hvis versionsnummeret er under 1.6.

Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning.

For mere information om plugin'ets sikkerhedshul: Elementor Contact Form DB < 1.6 - Unauthenticated & Unauthorised Form Submissions Export Security Vulnerability (wpscan.com)

Albert van Harten
Etisk hacker

Tak for din ros, Søren :)

Albert van Harten:

Desuden vil jeg stærkt anbefale at du beskytter dit website generelt mod CSRF. I mit blogindlæg Ansvaret er dit – din udbyder vasker sine hænder i uskyld tager jeg emnet også meget kort op - og kommer med en løsning.

Rigtig fint blogindlæg Albert 

Albert, hvorfor er bl.a. "Header set X-Frame-Options SAMEORIGIN" ikke placeret inde i din If-sætning på ovenstående link til din side?

Hvorfor har du både X-Frame-Options men også CSP sat, når CSP overruler den forrige? (https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options)

Hej Martin

Tak for din reaktion.

Det er et par uger siden, hvis ikke måneder, da jeg skrev indlægget, så jeg må lige kigge lidt nærmere på det for at kunne give dig et svar på det første. Umiddelbart tænker jeg at min X-Frame-option ikke skal være betinget (if ...) - men som sagt kan jeg kun svare når jeg har kigget på det nærmere.

Jeg har både X-Frame-Options og CSP, da sikkerpånettet.dk ikke accepterer kun en CSP - i hvert fald ikke på det tidspunkt hvor jeg skrev dette: den meldte stadigvæk fejl i mine X-Frame-Options.

Jeg vil absolut se nærmere på if ... Tak for det.

Jeg er helt enig i at sikkerpånettet.dk skal tages med en gran salt. Jeg nævner også det med IPv6 som har intet med sikkerheden at gøre.

I øvrigt er sikkerpånettet bare købt i udlandet, nærmere betegnet Holland; sitet internet.nl har lavet systemet. Men eftersom DK-Hostmaster reklamerer med systemet på deres forside, flankeret af Martin Thorborg (som i øvrigt ikke selv scorer 100% på sin side - hvilket understreger at man kan tage sikkerpånettet.dk med en gran salt), mens ALLE med et .dk-domæne er kunde hos DK-Hostmaster, så tænker jeg det nok tjener et vist formål at hjælpe folk med at score 100% i den test.

Og selvom testen ikke er helt retsvisende, så kan det aldrig skade at sikre sit website mere end det niveau WordPress eller ens udbyder standard leverer.

Albert

Nej, det skader som udgangspunkt ikke at slå nogle funktioner til. Dog er jeg, som ejer af et hosting firma, ikke helt glad for idéen med at vi som udbyder skal enforce diverse ting på server-niveau som KAN påvirke kundens hjemmeside. Synes mildest talt at dit udtryk om at vi "vasker hænder" er mangelfuldt og viser manglende indsigt både på det tekniske område (som vi så ovenfor mht. til mine tidligere kommentarer) men også i kendskab til branchen.

Som du selv hinter om i din artikel, kan flere af disse funktioner påvirke en sides funktionalitet - og her ligger problemet. Jeg synes ikke vi som udbyder skal bestemme hvordan visse dele af din side virker og hvem der potentielt skal udelukkes for at besøge din side. Flere af de sikkerhedstiltag man kan lave, har også konsekvenser - f.eks. er det ikke alt som er understøttet af alle browsere, og her risikerer man meget nemt at ekskludere folk som kører gammelt software, f.eks. Internet Explorer - og ja, de findes skam endnu. Jeg mener bare ikke at det er vores job at udelukke disse brugere for at besøge vores kunders sider.

Tilgengæld sørger vi for, at serversikkerheden er i orden på serverniveau - de ting vi kan ændre uden den store chance for at det ødelægger noget for kunden.

Det er mit bud på hvorfor du ikke ser udbydere påtvinge disse tiltag da det KAN have konsekvenser. Vi stiller en platform til rådighed, men det du vælger at uploade til serveren vil altid være dit eget ansvar og ønsker man specielle tiltag kan man hos de fleste udbydere aktivere dem, ligesom du beskriver.