Vulnerability Report [X-frame By-Pass]  [GELÖST]

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Vulnerability Report [X-frame By-Pass]

Post by goldene-zeiten »

Liebe KeyHelp-Freunde,

heute habe ich eine Mail bekommen, die auf eine angebliche Sicherheitslücke in Verbindung mit KeyHelp hinweisen würde:

Code: Select all

Hello Team, 
I have found a bug in your website https://server.de/  

The details of it are as follows:-

Summary:
X-Frame-Options ALLOW-FROM https://server.de/  not supported by several Browser, 

Steps To Reproduce:
Create a new HTML file
Put <iframe src="https://server.de/ frameborder="0"></iframe>
Save the file
Open document in browser
Impact:
Attacker may tricked user, sending them malicious link then user open it clicked some image and their account unconsciously has been deactivated

Solution:
The vulnerability can be fixed by adding "frame-ancestors 'self';" to the CSP (Content-Security-Policy) header.

 PoC:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="description" content="X-Frame-Bypass: Web Component extending IFrame to bypass X-Frame-Options: deny/sameorigin">
<title>X-Frame-Bypass Web Component Demo</title>
<style>
html, body {
margin: 0;
padding: 0;
height: 100%;
overflow: hidden;
}
iframe {
display: block;
width: calc(70% - 40px);
height: calc(80% - 40px);
margin: 20px;
}
img {
position: absolute;
top: 0;
right: 0;
}
</style>
<script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
<script src="x-frame-bypass.js" type="module"></script>
</head>
<body>
    <h1>x-frame-bypass in your site</h1>
<iframe is="x-frame-bypass" src="https://server.de/"></iframe>
</body>
</html>


FIX:
Content-Security-Policy: frame-ancestors 'self' is better, because it checks all frame ancestors. You should implement a CSP header to avoid these sorts of attacks. Please let me know if you want more information. I hope that you appreciate my ethical disclosure of this vulnerability, expecting a reward as a token of appreciation for this..
Thank you!
Was meint ihr dazu?

LG von

Hahni
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Vulnerability Report [X-frame By-Pass]  [GELÖST]

Post by Alexander »

Hallo,

Der "X-Frame-Options" Header steht bei KeyHelp schon immer auf DENY.

Es muss sich um eine andere Anwendung handeln, oder es wurde anderweitig am Webserver eingegriffen.
Auf das KeyHelp Control-Panel trifft das beschriebene zumindest nicht zu.

https://securityheaders.com/?q=https%3A ... directs=on


Und bevor die Frage kommt, welche Header eine Anwendung setzt entscheidet die Anwendung, nicht das Control-Panel.
Wenn dieser Header z.B. durch eine Wordpress Instanz gesetzt wird, sollte man es dort unterbinden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: Vulnerability Report [X-frame By-Pass]

Post by goldene-zeiten »

Für meinen Server auch nicht. Aber für den hat er es geschickt:

https://securityheaders.com/?q=https%3A ... directs=on
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Vulnerability Report [X-frame By-Pass]

Post by Alexander »

Und auch dort kannst du sehen, das es auf "DENY" steht und nicht auf "ALLOW-FROM". Da hat er dir vll eine falsche URL geschickt, bzw. bezieht sich auf eine Domain auf deinem Server.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: Vulnerability Report [X-frame By-Pass]

Post by goldene-zeiten »

Er hat ausdrücklich das KeyHelp-Panel gemeint. Denn das läuft ja auf der Subdomain hyperbrain. Ein anderes Projekt aber läuft nicht auf dieser Subdomain. Die Frage ist halt generell, ob man diesen Mails Bedeutung beimessen sollte.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Vulnerability Report [X-frame By-Pass]

Post by Alexander »

screen.png
Die Frage ist halt generell, ob man diesen Mails Bedeutung beimessen sollte.
Wie gesagt, die Behauptung ist falsch, von daher...
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: Vulnerability Report [X-frame By-Pass]

Post by goldene-zeiten »

Dann warte ich ab - wenn kein Handlungsbedarf besteht.

Vielen lieben Dank für die prompte Rückmeldung.

LG von

Hahni
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
Post Reply