Daily Archives: 7. August 2008

unsichere Bildungseinheiten…

Gestern leitete mir eine Freundin eine Anmeldebestätigung einer Bildungsstätte weiter und fragte ob es denn Ok wäre das ihre Zugangsdaten (Benutzername und Passwort) die sie bei der Anmeldung vergeben hatte in der Mail im Klartext stehen. “Jo, das ist schon Ok, wie sollen die das sonst machen? PGP hat sich bisher nicht durchgesetzt. Die machen das sicher auch damit jemand der seine Zugangsdaten verbummelt hat, in seinen E-Mails nachschaut, bevor er/sie die Passworterinnerungfunktion benutzt. Apropos, du kannst ja mal diese Funktion aufrufen und schauen was für ein Passwort zugeschickt wird.”

Tja, es wurde natürlich das von ihr bei der Anmeldung vergeben Passwort zur Erinnerung verschickt. Wie ich schon in mehreren meiner Beiträge hier geschrieben habe; wenn man die “Passwort vergessen?”-Funktion benutzt und dann das ursprüngliche Passwort zugeschickt bekommt, dann kann dieses nur im Klartext in der Datenbank gespeichert sein – eine sicherheitstechnische Dummheit.

Da eine Dummheit selten alleine…

“Kannst dir die WebSite ja mal anschauen, evtl. findest du noch mehr.”

Wie ich mir den HTML-Quellcode anschaute fing schon mein abgebrochener Zahn an zu wummern… aber wie ich dann versuchte mich einzuloggen, da dachte ich fall vom Stuhl.

Einloggen per ‘ or ‘1’=’1 funktionierte zwar nicht, aber einfach % für Benutzername und Passwort…

Da ich ja funktionierende Zugangsdaten hatte versuchte ich mal den Benutzernamen der Freundin und als Passwort ein % – ja, funktioniert. Da die Passworte im Klartext in der Datenbank stehen und auf der Seite für die persönlichen Daten auch das aktuelle Passwort eingetragen ist (zum ändern nehme ich mal an), zwar wie üblich bei Passworten mit *****, habe ich die Funktion “Formulare/Passwörter anzeigen” vom Web Developer benutzt und wie nicht anders zu erwarten war sah ich nun das Passwort im Klartext. Da der input-TAG vom Type password auch einen value hat, kann man den Inhalt zwar auch im HTML-Quelltext sehen, aber die Funktion im Web Developer ist einfacher und schneller zu handhaben.

Mit dem Wissen um den %-Login-Bug könnte ich mich nun in fremde Accounts einloggen und neben den persönlichen Daten wie Telefonnummer, E-Mail-Adresse, Anschrift, etc. auch die vergebenen Passworte der User ausspähen.

Mal schauen wie die Jungs und Mädels der Bildungsstätte auf den Bug reagieren. ;O)