Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Stefan Reuther Newsgroups: de.comp.lang.javascript Subject: =?UTF-8?Q?Re=3a_onsubmit_mehrfach_ausl=c3=b6sen?= Date: Sat, 5 Feb 2022 10:24:53 +0100 Lines: 30 Message-ID: References: <3t61fbe070i162037n3e8%sfroehli@Froehlich.Priv.at> <1t61fc1d81i16ad1bn3e8%sfroehli@Froehlich.Priv.at> <5t61fd8a39i1924a7n3e8%sfroehli@Froehlich.Priv.at> Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net BPIyU9GDkGfmmzzI5ffzFwZ1GO4TFDTH13ApuRFkXJdEk1rxtq Cancel-Lock: sha1:ZlCrOY4YGZe3kOELlhJb0HqFW+g= User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101 Thunderbird/68.12.1 Hamster/2.1.0.1538 In-Reply-To: <5t61fd8a39i1924a7n3e8%sfroehli@Froehlich.Priv.at> Xref: csiph.com de.comp.lang.javascript:5311 Am 04.02.2022 um 21:25 schrieb Stefan Froehlich: > On Fri, 04 Feb 2022 16:51:21 Stefan Reuther wrote: >> Am 03.02.2022 um 19:29 schrieb Stefan Froehlich: >>> Könnte er natürlich, aber damit würde sich der Kreis schließen: >>> Ich mache den Kopfstand deshalb, weil ein Security-Consultant das >>> onsubmit="" als Böse[TM] markiert hat, und sich in solchen Fällen >>> immer der größere durchsetzt - das bin nicht ich. > >> Und der hat nicht angemeckert, dass man Doppel-Submit eigentlich >> auf dem Server filtern sollte? :-) > > Hast Du schon einmal mit so einem Consulting zu tun gehabt? Die > arbeiten ziemlich stur eine Checkliste durch, und die ist eher > oberflächlich :-) Der letzte Sicherheitsforscher[tm], mit dem ich das Vergnügen hatte, hatte die UPnP-Service-Description meines Infotainment-Gerätes gefunden (ein statisches XML-Dokument, das mangels Stylesheet halt ziemlich technisch aussieht) und meinte, dass man damit den CAN-Bus hacken könnte. Als Beleg wurde ein Screenshot eines Exploit-Frameworks hingelegt, das sich erfolgreich auf den HTTP-Port verbunden hat. Ergebnis: kräftig drüber gelacht und Arbeitszeit damit verschwendet, der Chefetage zu erklären, warum das Unsinn ist. Dabei würde ich mich echt freuen, wenn mir jemand einen Fehler nachweist, da kann ich noch was lernen :) Stefan