Meldungen über URL in CustomerPreferences unterbinden

Allgemein Fragen, deutsche News, Ankündigungen & Events zum OTRS
Post Reply
Charburner
Znuny newbie
Posts: 30
Joined: 06 Aug 2021, 12:13
Znuny Version: 6.2.2
Real Name: Jens

Meldungen über URL in CustomerPreferences unterbinden

Post by Charburner »

Hallo zusammen,

auf der Seite "Einstellungen" des Kunden-Webinterfaces werden bei Bedarf Meldungen als Teil der URL eingeblendet.
Zum Beispiel bei Passwortänderung:

Code: Select all

https://domain.tld/customer.pl?Action=CustomerPreferences;Priority=Error;Message=Das%20eingegebene%20Passwort%20ist%20nicht%20korrekt.%20Bitte%20versuchen%20Sie%20es%20erneut!
cp1.PNG

Weil dies nur URL-Parameter sind, besteht die Möglichkeit willkürliche Fehlermeldungen anzeigen zu lassen.
So könnte man bspw. einen präparierten Link verteilen, der Benutzer absichtlich in die Irre führt:

Code: Select all

https://domain.tld/customer.pl?Action=CustomerPreferences;Priority=Error;Message=ACHTUNG:%20Dieser%20Account%20wird%20deaktiviert.%20Wenn%20dieser%20Account%20nicht%20gel%C3%B6scht%20werden%20soll,%20schreiben%20Sie%20bitte%20eine%20E-Mail%20mit%20ihrem%20Benutzernamen%20und%20Ihrem%20Kennwort%20an%20support@evil.tld
cp2.PNG

Meine Frage lautet nun, ob man dieses Verhalten ohne zu viel Aufwand unterbinden kann.
Als Paradebeispiel sehe ich da die Login-Seite. Dort wird ebenfalls ein Hinweis eingeblendet wenn Benutzername oder Passwort falsch eingegeben wurden.
Dieser Text wird allerdings nicht als URL-Parameter übergeben und kann daher nicht so einfach manipuliert werden.

Danke für jeglichen Input

Viele Grüße
You do not have the required permissions to view the files attached to this post.
Post Reply