Drupal 8: Mehrere Lücken im Webform-Modul beseitigt

Durch ein wichtiges Sicherheitsupdate soll verhindert werden, dass Angreifer aus der Ferne mit Formularfunktionen von Drupal spielen oder sogar schädlichen Code ausführen. Wenn Sie unter Drupal 8 das Webform-Modul nutzen, um Formulare zu erstellen, sollten Sie dieses so bald wie möglich auf den neuesten Stand bringen. Die Entwickler des CMS haben insgesamt sieben Sicherheitslücken geschlossen, deren Schweregrad von "moderately critical" bis "critical" reicht. Angreifer könnten aus der Ferne die Lücken, die unter anderem in fehlenden Validierungs- und Filtermechanismen der Formularfunktionen bestehen, zum Beispiel ausnutzen, um JavaScript- oder PHP-Code auszuführen. Exploit-Möglichkeiten sind noch nicht für alle Lücken bekannt und zum Teil ist auch eine vorherige Authentifizierung nötig. Die abgesicherte Version Webform 8.x-5.11 können Sie als Update aus dem CMS heraus sowie als Download auf der Drupal-Website bekommen. Details zu den geschlossenen Sicherheitslücken Zu den Drupal-Sicherheitslücken geben die nachstehenden, nach Schweregrad geordneten Advisories nähere Informationen: Webform - Critical - Remote Code Execution - SA-CONTRIB-2020-011 Webform - Critical - Access bypass - SA-CONTRIB-2020-016 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-015 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-014 Webform - Moderately critical - Cross site scripting - SA-CONTRIB-2020-013 Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-012 Webform - Moderately critical - Access bypass - SA-CONTRIB-2020-017

2020-05-08T16:49:16+02:00Mai 8th, 2020|CMS, HTML, Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal 8: Mehrere Lücken im Webform-Modul beseitigt
Weiterlesen

Schaltflächen (Buttons) ohne Formular nutzen

Die Schaltflächen, die in Formularen mit Input-Elementen erzeugt werden, lassen sich ohne Probleme auch als Anker für normale Links verwenden. Man braucht also kein vollständiges Formular, um über diese grafisch ansprechenden Buttons eine andere Seite aufzurufen. Dazu behandelt man ein Input-Tag vom Typ "submit" wie ein Bild oder einen Text, die als Linkanker dienen sollen. Die Beschriftung der Buttons wird durch das Attribut "value" festgelegt. Hier ein Beispiel mit HTML-Quellcode und dem Ergebnis:

2011-12-01T13:14:31+02:00Dezember 1st, 2011|HTML|Kommentare deaktiviert für Schaltflächen (Buttons) ohne Formular nutzen
Weiterlesen

Formular mit Javascript abschicken

Manchmal steht man bei der Erstellung von Webseiten vor dem Problem, dass Daten via POST zu einer anderen Seite transferiert werden sollen, ohne dass der Benutzer das z.B. durch Mausklick auf einen Submit-Button initiiert. Dazu gibt es eine einfache Lösung mit Javascript. Zunächst werden die per POST zu übertragenden Daten mit dem Attribut "hidden" in ein Formular eingetragen, das einen Namen haben muss, im Beispiel "f1", damit man es per Javascript ansprechen kann. Alternativ ließe es sich auch als Index ansprechen. <form action="EmpfangendeSeite.php" method="POST" name="f1" > <input type="hidden" name="charset" value="utf-8"> <input type="hidden" name="next" value="3"> </form> Direkt hinter dem Formular steht das nachfolgende Einzeiler-Programm, das den Transfer der Daten zur Zielseite auslöst. <script> document.f1.submit(); </script>

2011-08-29T08:25:06+02:00August 29th, 2011|Javascript|Kommentare deaktiviert für Formular mit Javascript abschicken
Weiterlesen

Formularspam mit einem Topf Honig abwehren Teil 2

Wie schon im ersten Teil dieses Artikels beschrieben, wird bei der Honeypot-Methode zur Abwehr von Formularspam ein zusätzliches Formularfeld erzeugt, das für Menschen nicht sichtbar ist. Das style-Attribut wurde wegen der Verständlichkeit ins span-Element gesetzt. Besser ist es, hier eine Klasse einzutragen und das style-Attribut in der CSS-Datei des Formulars anzugeben. Das hilft dann auch gegen intelligenter programmierte Spambots. <!—Der Honeypot gegen Formularspam  --> <span style="display:none"> <label for="mail">Das folgende Feld muss leer bleiben:</label> <input type="text" name="mail" id="mail" title="Dieses Feld muss leer bleiben " /> </span> Die Auswertung des Honeypots wird in die meist schon vorhandene PHP-Fallverzweigung mit den Plausibilitäts-Prüfungen eingesetzt. Hat ein Spambot das Honeypot-Feld ausgefüllt, verzweigt das Programm per Header-Befehl zurück zur Formulareingabe. foreach($_POST as $key => $value) { switch ($key) { // Hier stehen alle Plausibilitätskontrollen case "mail":                           // Honeypot-Feld gegen Formularspam muss leer sein If ($value != "") { $go="n"; $location="formular.php "; header("Location: $location"); } break; } } Denken Sie bitte daran, dass der Header-Befehl nur dann funktioniert, wenn vorher noch keine Ausgaben durch das Programm erzeugt wurden.

2011-02-28T12:15:46+02:00März 3rd, 2011|Allgemein|Kommentare deaktiviert für Formularspam mit einem Topf Honig abwehren Teil 2
Weiterlesen

Formularspam mit einem Topf Honig abwehren Teil 1

Sie kennen sicher den lästigen Formularspam. Spambots tragen ihre zweifelhaften Werbebotschaften in jedes erreichbare Formular ein, selbst Suchformulare mit nur einem Eingabefeld ohne Chance auf Sichtbarkeit der Werbung bleiben nicht verschont. Es sieht natürlich nicht gut aus, wenn im Gästebuch einer Website Werbung für Viagra und Suchanzeigen für Cash-Manager erscheinen. Aber auch in Formularen, die keine öffentlich sichtbaren Resultate produzieren oder deren Resultate vor Veröffentlichung von Menschen gesichtet werden, kann Formularspam die Listen ziemlich unübersichtlich machen. Der erste Gedanke eines Spamgeplagten Webmasters ist häufig die Einführung von Captchas, also verzerrten Bildchen mit Zahlen oder Buchstaben darin, die der Benutzer erkennen und in ein Formularfeld eingeben muss. Wenn die aber so gut sind, dass Roboter damit Probleme haben, haben Menschen auch Probleme damit und müssen häufig mehrere Versuche machen, bis das Formular abgeschickt wird. Es gibt verschiedene bessere Ansätze, die alle mehr oder weniger darauf beruhen, dass es sich bei diesen "Spammern" um Robots handelt, also Programme, die sich so verhalten, wie sie programmiert sind. Man nutzt zum Beispiel die Messung der Zeit zwischen Laden und Absenden des Formulars, um Roboter zu erkennen, die das in Bruchteilen einer Sekunde machen können. Es gibt aber schon Robots, die diese Zeit per Algorithmus erhöhen. Andere Ansätze prüfen alle Inhalte [...]

2011-02-28T10:25:26+02:00Februar 28th, 2011|Allgemein|Kommentare deaktiviert für Formularspam mit einem Topf Honig abwehren Teil 1
Weiterlesen

Neue Formulare mit HTML 5

Eine der Grundlagen von HTML 5 hieß Web Forms 2.0. Auf dieser Basis wurden die Formularmöglichkeiten von HTML stark erweitert. Die meisten Neuerungen kommen als diverse neue Attributwerte von <input type="…"> daher. Bis dato konnte man damit nur Textfelder, Checkboxen, Radiobuttons und Submit-Schaltflächen erzeugen, jetzt gibt es viele Spezialvarianten wie number, tel, url, color oder email. Opera zum Beispiel erkennt diese Typen heute schon und hält dazu Eingabehilfen wie die Pfeiltasten zum herauf- und herunterzählen beim Typ "number" vor. Der Vorteil der neuen Datums- und Zeitfelder wie datetime, datetime-local, date, month, week oder time ist offensichtlich: Der Browser stellt dabei eine Datumsauswahl als kleinen Kalender dar, über den man das Datum "picken" kann. Die Uhrzeiten werden über Pfeiltasten eingestellt. Selbst Schieberegler und Comboboxen kann man jetzt ohne Javascript erzeugen. Eine Auswahl von URLs läßt sich zum Beispiel so realisieren: <input list="webseiten"> <datalist> <option value=https://www.homepage-anleitung.de> <option value=http://www.webwork-magazin.net> </datalist>

2010-11-21T23:17:47+02:00August 26th, 2010|Allgemein|Kommentare deaktiviert für Neue Formulare mit HTML 5
Weiterlesen
Nach oben