greggy/landingpage-haus-schleusingen
1
0
Fork 0
Code Issues 2 Pull Requests Actions Packages Projects Releases Wiki Activity

Sicherheit: CSRF-Schutz für Kontaktformular #42

New Issue
Closed
opened 2026-05-19 15:42:43 +02:00 by greggy · 1 comment
greggy commented 2026-05-19 15:42:43 +02:00
Owner
Copy Link

Schwachstelle #2 – CSRF-Schutz fehlt

Das Kontaktformular hat keinen CSRF-Token. Ein Angreifer könnte ein Formular auf einer fremden Seite platzieren, das automatisch Anfragen an deine Seite sendet.

Empfehlung

  • CSRF-Token in der Session generieren
  • Token als Hidden-Field im Formular einbinden
  • Beim Submit prüfen ob Token übereinstimmt

Umsetzung

// Token generieren
$_SESSION["csrf_token"] = bin2hex(random_bytes(32));

// Im Formular
<input type="hidden" name="csrf_token" value="<?= $_SESSION["csrf_token"] ?>">

// Beim Submit prüfen
if ($_POST["csrf_token"] !== $_SESSION["csrf_token"]) { /* reject */ }

Priorität

🟠 Mittel

## Schwachstelle #2 – CSRF-Schutz fehlt Das Kontaktformular hat **keinen CSRF-Token**. Ein Angreifer könnte ein Formular auf einer fremden Seite platzieren, das automatisch Anfragen an deine Seite sendet. ### Empfehlung - CSRF-Token in der Session generieren - Token als Hidden-Field im Formular einbinden - Beim Submit prüfen ob Token übereinstimmt ### Umsetzung ```php // Token generieren $_SESSION["csrf_token"] = bin2hex(random_bytes(32)); // Im Formular <input type="hidden" name="csrf_token" value="<?= $_SESSION["csrf_token"] ?>"> // Beim Submit prüfen if ($_POST["csrf_token"] !== $_SESSION["csrf_token"]) { /* reject */ } ``` ### Priorität 🟠 Mittel
greggy added the
KI
 label 2026-05-19 15:42:43 +02:00
greggy added the
KI
 label 2026-05-22 01:03:19 +02:00
greggy commented 2026-05-22 01:03:41 +02:00
Author
Owner
Copy Link

Phase 1: Analyse abgeschlossen

Komplexität: S (Small)

Spezifikation

CSRF-Token in HomeController implementieren:

  1. Token via bin2hex(random_bytes(32)) generieren und in Session speichern
  2. Hidden-Field csrf_token im Kontaktformular
  3. POST-Validierung mit hash_equals() (timing-safe)

Akzeptanzkriterien

  • CSRF-Token bei jedem GET generiert
  • Token als Hidden-Field im Formular
  • POST ohne gültiges Token wird abgelehnt
  • Formular funktioniert weiterhin korrekt

Status: ReadyForDev → Weiter zu Phase 2 (Implementierung)

## Phase 1: Analyse abgeschlossen ✅ **Komplexität: S (Small)** ### Spezifikation CSRF-Token in HomeController implementieren: 1. Token via `bin2hex(random_bytes(32))` generieren und in Session speichern 2. Hidden-Field `csrf_token` im Kontaktformular 3. POST-Validierung mit `hash_equals()` (timing-safe) ### Akzeptanzkriterien - [ ] CSRF-Token bei jedem GET generiert - [ ] Token als Hidden-Field im Formular - [ ] POST ohne gültiges Token wird abgelehnt - [ ] Formular funktioniert weiterhin korrekt **Status: ReadyForDev** → Weiter zu Phase 2 (Implementierung)
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
Implementing
InQA
InReview
InValidation
KI
Von KI bearbeitet
KI
KI
KI
ReadyForDev
Bereit zur Implementierung
ReadyForMerge
No Label
KI
KI
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
greggy
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: greggy/landingpage-haus-schleusingen#42
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?