t3secure.de auf den TYPO3 Developer Days 2022 vorgestellt
Slides zum Download
07.08.2022 - Nino Müns
TYPO3 Developer Days 2022
Wir haben am 07.08.2022 unser TYPO3-Sicherheitstool t3secure.de bei den TYPO3 Developer Days (T3DD22) in Karlsruhe vorgestellt. Dazu ist unser Senior Entwickler und Geschäftsführer, Malte, nach Karlsruhe gereist, um dem interessierten Fachpublikum das Tool vorzustellen.
TYPO3-Upgrades sind oft nicht einfach. Das hat zur Folge, dass fast 30 % der TYPO3-Instanzen auf veralteten TYPO3 Versionen basieren. Upgrades und Updates würden das Risiko von Sicherheitslücken verringern.
In seinem Vortrag führte Malte aus, wie man die TYPO3-Version nur anhand öffentlich zugänglicher Dateien erkennen kann und wie das Ergebnis der TYPO3-Community helfen könnte, Nutzer zum Handeln in Bezug auf ihr veraltetes TYPO3 zu bewegen.
Er gab Einblicke in die von unserem Werkstudenten, Jann, erstellte Bachelorarbeit, die im Februar 2022 über eine Versionserkennung von TYPO3 mittels öffentlicher erreichbarer Ressourcen berichtet und dabei zeigte, wie oft bestehende TYPO3 Websites von Sicherheitsproblemen betroffen sind.
Unser Vortrag
In unserem Vortrag sind wir auf die Einzelheiten unseres Versionserkennungs-Algorithmus genauer eingegangen und haben zudem auch erstmalig eine live Demonstration gezeigt. Dabei konnten die Zuschauer der TYPO3 Developer Days einen ersten Einblick aus Sicht des Users bekommen, bevor es tiefer in die Materie ging. Dabei wird das offizielle TYPO3 GitHub Repository zum Erstellen der Versionscharakteristiken genutzt, welche später das Erkennen einer TYPO3-Version ermöglichen. Anschließend werden bekannte Schwachstellen der TYPO3 Versionen über die NVD API abgefragt, welche in Form von CVEs vorhanden sind. Der anschließende Scanvorgang wurde Schritt für Schritt an der Beispielseite typo3.org erörtert.
Unsere Studie
Wir haben ihm Rahmen unseres Projektes 780 TYPO3-Websites getestet:
69,4 % der von uns getesteten TYPO3 Websites sind von bereits bekannten Sicherheitslücken betroffen sind.
*CVE (Common Vulnerabilities and Exposures) ist eine Liste mit standardisierten Namen für Schwachstellen und andere Sicherheitsrisiken. Die CVE-Liste dient der Vereinheitlichung der Namen aller bekannten Sicherheitslücken und Schwachstellen.
Kontakt
t3secure.de ist ein Projekt der MÜNSMEDIA GmbH. Wir freuen uns auf Feedback aus der TYPO3-Community.
Ansprechpartner:
Herr Nino Müns
+49 391-50549380
info(at)muensmedia.de