- Annika
- Beiträge: 4493
- Registriert: 08.10.2008, 21:38
- AoA: 90's bitch
- Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!
Sicherheitslücke Session Ids
Der Account jedes Users ist benutzbar, einsehbar und manipulierbar wenn man die URL mit der SID kennt - d.h. man wird dann automatisch angemeldet wenn man diesen Link öffnet!
Für einen Angreifer ist es sicher ein leichtes eine dieser Urls zu bekommen, z.b. über Hotlinks oder "Hot-Images" bei aktivierten Referrer
Werden besuchte Adressen vom Browser nicht gelöscht, so kann jeder, der den Browser benutzt, den persönlichen Bereich lesen, selbst wenn Cookies und Cache gelöscht wurden!
Das gilt natürlich auch für den IP-Hoster (Proxy bzw. in jedem Fall der ISP (da nicht https), oder z.b. der letzte Tor-Server)
Für einen Angreifer ist es sicher ein leichtes eine dieser Urls zu bekommen, z.b. über Hotlinks oder "Hot-Images" bei aktivierten Referrer
Werden besuchte Adressen vom Browser nicht gelöscht, so kann jeder, der den Browser benutzt, den persönlichen Bereich lesen, selbst wenn Cookies und Cache gelöscht wurden!
Das gilt natürlich auch für den IP-Hoster (Proxy bzw. in jedem Fall der ISP (da nicht https), oder z.b. der letzte Tor-Server)
Zuletzt geändert von Annika am 11.05.2009, 22:53, insgesamt 2-mal geändert.
Dumm fickt gut. Noch Fragen ??
Re: Sicherheitslücke Session Ids
ah toll klasse kann man das ändern?
its better to burn out than to fade away
- Annika
- Beiträge: 4493
- Registriert: 08.10.2008, 21:38
- AoA: 90's bitch
- Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!
Re: Sicherheitslücke Session Ids
also, zumindest sollten Cookies erforderlich sein um sich im GLF anzumelden
Dumm fickt gut. Noch Fragen ??
Re: Sicherheitslücke Session Ids
hm und sonst? kann man das loch stopfen?
its better to burn out than to fade away
- Annika
- Beiträge: 4493
- Registriert: 08.10.2008, 21:38
- AoA: 90's bitch
- Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!
Re: Sicherheitslücke Session Ids
ich hab den Fehler gefunden. Normalerweise werden nur für die nicht angemeldeten User SIDs vergeben. Das Problem ist, dass man direckt nach dem Anmelden zur Foren-Übersicht geleitet wird, diese enthält als einziger Link die SID für angemeldete User. Das Problem ensteht also nur dann, wenn ich diesen gespeicherten Link zur Foren-Übersicht (incl. SID) später aus der Browser-History aufrufe und nur wenn ich noch keine Cookies habe. Ist das der Fall, werden alle Links mit SID angegeben (wie bei nicht angemeldeten Usern) allerdings mit allen meinen Rechten. Dann haben auch URLs von Diskussionsseiten eine SID, die dann wie oben beschrieben von Angreifern gestohlen werden kann
PS. Dieser Beitrag wurde ohne Cookies geschrieben
PS2. Die Sicherheitsvorkehrung, dass SIDs mit dem User-Agent gekoppelt sind hilft wenig, da der auch vom Angreifer gelesen werden kann
also Leute, niemals (die "Bookmarks" / "Lesezeichen") aus dem Verlauf des Browsers laden, sondern immer http://www.girlloverforum.net/forum/index.php eintippen oder genau diese Url aus den Bookmarks/Lesezeichen heraus laden !
PS. Dieser Beitrag wurde ohne Cookies geschrieben
PS2. Die Sicherheitsvorkehrung, dass SIDs mit dem User-Agent gekoppelt sind hilft wenig, da der auch vom Angreifer gelesen werden kann
also Leute, niemals (die "Bookmarks" / "Lesezeichen") aus dem Verlauf des Browsers laden, sondern immer http://www.girlloverforum.net/forum/index.php eintippen oder genau diese Url aus den Bookmarks/Lesezeichen heraus laden !
Dumm fickt gut. Noch Fragen ??
- Annika
- Beiträge: 4493
- Registriert: 08.10.2008, 21:38
- AoA: 90's bitch
- Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!
Re: Sicherheitslücke Session Ids
Man sollte die Foren-Übersicht nicht aus der Chronik laden, weil diese hat im angemeldeten Status immer ein SID. Ganz besonders gilt das wenn man den Browser frisch geöffnet hat und noch keine GLF-Cokies gespeichert sind. Wenn über diese Hauptseite aus der Chronik (unangemeldet, und ohne Cookies) andere Seiten aufgerufen werden, dann haben diese allerdings auch eine SID und können später genauso eine automatische Anmeldung bewirken.
Einfache Lösung: unten auf der Foren-Übersicht ist ein Button "Alle Cookies des Boards löschen" (unter Off-Topic). Dann besteht das Problem nicht mehr.
Einfache Lösung: unten auf der Foren-Übersicht ist ein Button "Alle Cookies des Boards löschen" (unter Off-Topic). Dann besteht das Problem nicht mehr.
Dumm fickt gut. Noch Fragen ??
- MaraFan
- Beiträge: 3588
- Registriert: 11.10.2008, 16:12
- AoA: 3 - 11 Jahre
- Wohnort: Der Wald zwischen den Welten
Sakura - andere Admin WTF
Themen mit identischem Problem vereint.
GLF-Moderation
Wenn man angemeldet ist und jemand einen Link über Anoymouse schickt, kann der jenige mit deinen Acc schreiben, da das PW mitgeschickt wird..
WAS DAS FÜR SCHEIS Sicherheitslücke
<<
GLF-Moderation
Wenn man angemeldet ist und jemand einen Link über Anoymouse schickt, kann der jenige mit deinen Acc schreiben, da das PW mitgeschickt wird..
WAS DAS FÜR SCHEIS Sicherheitslücke
<<
- sus
- Beiträge: 2180
- Registriert: 26.11.2009, 19:17
- AoA: [1,3!]*[2,2]-[1,2]
- Wohnort: Ein Vulkan. Zumindest so ähnlich. Eigentlich nur der Ozean ...
Re: Sakura - andere Admin WTF
schick mal nen nen link bitte .... würde das gerne ausprobiern und deinen namen beschmutzen
Ich frage mich, wie unendlich schön es sein muss, alles Leben auf der Welt zu überdauern. Asche ist soooo~ schön. Ich wünschte, die Welt würde noch heute anfangen zu brennen c.c
- MaraFan
- Beiträge: 3588
- Registriert: 11.10.2008, 16:12
- AoA: 3 - 11 Jahre
- Wohnort: Der Wald zwischen den Welten
Re: Sakura - andere Admin WTF
Das hat Bockwurst bzw Virgian schon getan ich habs nur wieder gelöscht << So ne scheis hab ich echt noch nie erlebt
- sus
- Beiträge: 2180
- Registriert: 26.11.2009, 19:17
- AoA: [1,3!]*[2,2]-[1,2]
- Wohnort: Ein Vulkan. Zumindest so ähnlich. Eigentlich nur der Ozean ...
Re: Sakura - andere Admin WTF
hm, auf jedenfall gut dass dus anmerkst. is wahrlich ein problem.
vllt also vorerst mal davor warnen, dass man mit links vorsichtig sein sollte....
vllt also vorerst mal davor warnen, dass man mit links vorsichtig sein sollte....
Ich frage mich, wie unendlich schön es sein muss, alles Leben auf der Welt zu überdauern. Asche ist soooo~ schön. Ich wünschte, die Welt würde noch heute anfangen zu brennen c.c
- Forbidden Love
- Beiträge: 825
- Registriert: 15.10.2008, 19:39
- Wohnort: [email protected]
- Kontaktdaten:
Re: Sakura - andere Admin WTF
Hallo,
ich muß zugeben, das ich gar nicht verstehe worum es hier geht.
Hätte der Thread nicht besser ins Sicherheitsforum gepasst?
Gruß
Forbidden Love
ich muß zugeben, das ich gar nicht verstehe worum es hier geht.
Hätte der Thread nicht besser ins Sicherheitsforum gepasst?
Gruß
Forbidden Love
- MaraFan
- Beiträge: 3588
- Registriert: 11.10.2008, 16:12
- AoA: 3 - 11 Jahre
- Wohnort: Der Wald zwischen den Welten
Re: Sakura - andere Admin WTF
Wenn man zb. anonymouse benutzt. Und dann einen Link aus dem Glf an einen Freund verschickt, versendet man das PW mit und er kann neue Threads erstellen bearbeiten etc.
So kann er sie es , verbotenes tuen mit deinen Nick..
So kann er sie es , verbotenes tuen mit deinen Nick..
- Smaragd aus Oz
- Beiträge: 12755
- Registriert: 09.05.2009, 10:34
- Kontaktdaten:
Re: Sakura - andere Admin WTF
Na denn... Dann habe ich ja eine tolle Ausrede, falls unter meinem Namen mal Mist geschrieben werden sollte.
... Und hab’s Pflücken nicht gemacht.
- Perma
- Beiträge: 7399
- Registriert: 19.08.2009, 21:42
- AoA: 8-14
- Wohnort: [email protected]
- Kontaktdaten:
Re: Sakura - andere Admin WTF
Da wird nicht das Passwort mitgeschickt sondern Deine bei jeder neuen Anmeldung unterschiedlichen Sitzungs-Id:MaraFan hat geschrieben:Wenn man zb. anonymouse benutzt. Und dann einen Link aus dem Glf an einen Freund verschickt, versendet man das PW mit und er kann neue Threads erstellen bearbeiten etc.
So kann er sie es , verbotenes tuen mit deinen Nick..
Das rot markierte ist die Sitzungs-Id über die man im Forum eingeloggt ist. Wird diese mit dem Link weitergegeben, kann jemand unter Deiner aktuellen Sitzungs-Id und damit Deinem Nick hier herumwuseln.http://anonymouse.org/cgi-bin/anon-www_ ... =1&p=70618&sid=6728a98287a9871298a998172389722
Bei der der Weitergabe alles ab &sid= weglassen, dann passiert so etwas nicht.
Solltest Du versehentlich doch mal alles mit weitergeben, am besten dann sofort einmal vom Forum abmelden. Dann ist die Sitzungs-Id ungültig und kann nicht mehr missbraucht werden.
Danach kannst Du Dich wieder neu anmelden und erhältst auch eine neue Sitzungs-Id zugewiesen.
Bei einem Pädo wäre das nicht passiert.
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
- Horizonzero
- Beiträge: 13355
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: Sakura - andere Admin WTF
Der Threat enthält in der Tat genug Sicherheitsinformationen das er in das Sicherheitsforum passt, daher hierher verschoben. Rainer, GLF-Mod.
679KCNGQQ (Teleguard)