Beiträge vom 18. Juni 2011

Eingeloggt ohne Login

Samstag, 18. Juni 2011, 18:31 Uhr | Autor:

Vor ein paar Tagen habe ich mal wieder eine XSS-Lücke nachrecherchiert, d.h. im Artikel des Bloggers stand zwar was von mehreren Lücken, aber er wollte natürlich nichts öffentlich machen — also bleibt mehr Spaß für mich. :O)

Nach wenigen Sekunden (Zu einfach! <g>) fand ich in der Registrierung der Seite die XSS-Lücken. Da diese Seite im allgemeinen schon sehr betagt aussieht, konnte ich nicht umhin, sie mir etwas genauer anzuschauen. Noch weitere XSS-Lücken, ja, ok… auch noch etwas SQL-Injection, jo, auch bekannt… aber was ist das? Schenkelklopf, ich breche zusammen… ROFL

Registriert man sich auf der Seite, so bekommt man eine E-Mail mit einem Link zum aktivieren. In dem Aktivierungslink steckt ein MD5-Hash, was im allgemeinen kein Problem darstellen sollte. Der Webfuzzy hat allerdings als MD5-Hash einfach die Benutzer-ID genommen und diese ist fortlaufend durchnummeriert. (Ich glaube ich habe mir schon zu viele MD5-Hashes angesehen… oder warum erkenne ich schon am Hash das da was krumm ist?! <g>) Dies bedeutet, auch ohne die entsprechende E-Mail erhalten zu haben, kann ich die Registrierung abschließen, da ich den MD5-Hash aus dem Link vorhersagen kann. Bei der Aktivierung fiel mir dann auf, dass die Weiterleitung zur Benutzer-Startseite (eingeloggt), den gleichen MD5-Hash in der URL zeigte?! Normalerweise sieht man in der Weiterleitung entweder gar keinen Hash oder einen anderen, z.B. von der Session-ID.

Nach etwas testen und zwei weiteren neuen Registrierungen fand ich den Bug, der mich etwas stutzig machte, ohne es sofort erkennen und in Worte fassen zu können. In einer URL die direkt auf eine Unterseite des Benutzer-Accounts zeigt, steckt wieder der bekannte Hash, der MD5-Hash mit der Benutzer-ID. Ruft man diese URL auf, so ist man eingeloggt und zwar ohne das man sich eingeloggt hat. Es wird also nicht das übliche, obligatorische Login durchlaufen, es wird einfach nur geprüft ob der MD5-Hash der Hash der Benutzer-ID ist. Mit diesem Bug kann ich nun also in jeden Account reinschauen und dieses nur mit der Benutzer-ID, bzw. dem MD5-Hash davon.

Der Webfuzzy hat auch die Zugangsdaten im Klartext mit in die Seite reingeschrieben. Am Ende habe ich also alle Daten (Name, E-Mail-Adresse, Benutzername und Passwort) die ich für weitere Angriffe benötige. OMG! Wie dämlich kann ein Webfuzzie sein?

Natürlich ändern die Benutzer nach der Registrierung die vom System vorgegebene Zugangsdaten, in etwas was sie öfter eingeben — beispielsweise die Daten ihres E-Mail-Accounts!

Kann man solche Betreiber zur Schließung ihrer Website zwingen? Welche Handhabe gibt mir der Gesetzgeber gegen solche grobe Fahrlässigkeit an die Hand? Die Datenschützer von Bund und Länder sind da bestimmt nicht für zuständig!? Kommt da evtl. diese Stiftung Datenschutz in Betracht?

Manchmal wünsche ich mir auch einen Notausknopf — damit ich ein Gegenmittel gegen solche unfähige Webfuzzies habe, die solchen Bockmist in die Welt kacken!

Thema: Sicherheit | 6 Kommentare