Hi - sen sowie Moinsen.
Ich habe leider eine schwere Sicherheitslücke im Computerhilfen Gästebuch Version 1.61 gefunden. Sie erlaubt den Zugriff auf den Admin-Bereich, auch wenn man ausgelogged ist.
Beispiel:
Ich klicke im Administrationsbereich auf einen Website-Link eines Users. Der Referrer Link verrät nun den Link zum Admin-Bereich inklusive PHPSSID. Wäre ja alles nicht schlimm, wenn diese PHPSSID ihre Gültigkeit umgehend nach dem Ausloggen verlieren würde.
Das tut sie aber nicht. Mein Freund hat diese Lücke über einen verlinkten Pennergame Spendenlink gefunden, auf diesen ich vom Admin-Bereich aus geklickt hatte.
Gut, dass er die Lücke gemeldet hat. Es hätte auch anders ausgehen können, denn mein Admin-Bereich hat viele Funktionen nachgerüstet bekommen, wie z.B. ein kleines CMS.
Ich habe dieses Problem wie folgt behoben:
-Admin-Ordner über HTACCESS geschützt
-Ursprüngliches Sicherheitssystem entfernt
Ich hoffe, dass dieses Problem umgehend behoben wird und dass es zu keinen Schäden kommt.
Danke!
MR (1.631)  12x Beste Antwort 43x "Danke"
|
-
