Hallo,

ich glaube, ich hab gerade einen sicherheitskritischen Bug im TS²-Webinterface gefunden. Es ist nämlich möglich, bei den Feldern Password, Welcome-Message, und Post-, bzw. Link-URL XSS durchzuführen. Denn in diesen Feldern werden die HTML-Sonderzeichen (<>&"...) nicht richtig "entschärft". Damit wäre es theoretisch möglich, als Serverbesitzer einem Superadmin die Session-ID zu klauen und sich dann Superadminrechte zu beschaffen.

Ich finde das sollte mal überprüft werden ;).

Bis dann
Gruß
manu

Edit: Ich hab das grad getestet und konnte die Session ID erfolgreich stehlen. Aber anscheinend prüft der Server auf IP-Gleicheit^^

cool, kümmert anscheinend keinen^^
gleich mal Instanzen plätten gehn....
Außerdem muckt mich der error in meinem webinterface -.-

Entschuldige bitte, dass wir am Sonntag nicht im Forum sind sondern lediglich unsere E-Mails abrufen. Entschuldige bitte auch, dass wir am Montag nicht sofort auf dein Thema aufmerksam geworden sind und dieses enventuell in der Flut neuer Posts übersehen haben.

Du hättest uns natürlich auch einfach eine E-Mail schicken können, wenn der Bug doch so kritisch ist. Aber auf die Idee bist du offensichtlich nicht gekommen, denn ich sehe hier keine E-Mail von dir.

Die Behauptung, dass es anscheinend niemanden kümmert, halt ich für ziemlich dreist.

Entschuldige bitte, dass wir am Sonntag nicht im Forum sind sondern lediglich unsere E-Mails abrufen. Entschuldige bitte auch, dass wir am Montag nicht sofort auf dein Thema aufmerksam geworden sind und dieses enventuell in der Flut neuer Posts übersehen haben.

Du hättest uns natürlich auch einfach eine E-Mail schicken können, wenn der Bug doch so kritisch ist. Aber auf die Idee bist du offensichtlich nicht gekommen, denn ich sehe hier keine E-Mail von dir.

Die Behauptung, dass es anscheinend niemanden kümmert, halt ich für ziemlich dreist.

Ja ok^^, mag sein, sorry ;)
Aber ich war da grad etwas geladen, weil ich 3 Stunden ein Bug in meinem PHP-Code gesucht hab und letztendlich feststellen musste, dass das ein Bug in TS ist...

Bei E-Mail ist es außerdem so, dass ich nie sicher sein kann, dass die E-Mail auch ankommt, da Spamfilter auch nicht perfekt arbeiten. Im Forum war's für mich am besten, einfachsten und ich kann sichergehen, dass der Bug gefixt wird, weil jetzt die Öffentlichkeit davon weiß :D :D :D :D .

Hey, damit kann man ja als SA den Servernamen und die Welcomemessage so manipulieren, dass ein SSA aus dem Interface geworfen wird, sobald man den Server anklickt.

Wo sind den eigentlich die ganzen Coder, das ist ein echter Bug!!!!

Die Behauptung, dass es anscheinend niemanden kümmert, halt ich für ziemlich dreist.

Das ist nicht dreist, das ist anscheinend wie Wahrheit...

Hast du schon eine Demo bzw. genaue Anleitung/Beschreibung an das Entwicklerteam per Mail geschickt, sodass dieses den Vorgang rekonstruieren und genau analysieren können? Wenn nicht, würde ich das mal machen. Sicherlich kann man einfach eine Aussage in den Raum stellen, ob es stimmt oder nicht ist erstmal vollkommen egal. Aber es hilft leider nicht weiter und bevor sich die Entwickler ransetzen und ein Phantom suchen, wartet man einfach, bis es mehr Details gibt und man weiß, wo genau man suchen bzw. fixen muss.

Ich denke, das dürfte soweit einleuchten. Nicht die Nadel im Heuhaufen suchen, sondern warten bis sich jemand sticht....

Zudem noch eine Sache: Komme bitte nicht auf die Idee etwas entsprechendes zu veröffentlichen. Damit tust du den Nutzern sicherlich kaum einen gefallen mit, wenn du in die Welt posaunst, wie man die Systeme manipuliert oder gar killt.

Naja ich denke seine Beschreibung oben war schon aussagekräftig genug um das nachvollziehen zu können.

Und "security by obscurity" hat auch noch niemanden weitergeholfen...

Nun, mein Gedanke dabei ist, den Kiddies nicht unnötig Futter zu geben. Das jemand versiertes das entsprechend einfach ausnutzen kann, brauchen wir nicht bestreiten. Aber es muss ja nicht hier für Copy 'n Paste Aktionen gepostet werden. Denn pubertierende Störenfriede die sich über sowas freuen, gibt es ja leider mehr als genug und die Ergebnisse können wir ja nahezu täglich hier lesen.

Hast du schon eine Demo bzw. genaue Anleitung/Beschreibung an das Entwicklerteam per Mail geschickt, sodass dieses den Vorgang rekonstruieren und genau analysieren können? Wenn nicht, würde ich das mal machen. Sicherlich kann man einfach eine Aussage in den Raum stellen, ob es stimmt oder nicht ist erstmal vollkommen egal. Aber es hilft leider nicht weiter und bevor sich die Entwickler ransetzen und ein Phantom suchen, wartet man einfach, bis es mehr Details gibt und man weiß, wo genau man suchen bzw. fixen muss.

Ich denke, das dürfte soweit einleuchten. Nicht die Nadel im Heuhaufen suchen, sondern warten bis sich jemand sticht....

Zudem noch eine Sache: Komme bitte nicht auf die Idee etwas entsprechendes zu veröffentlichen. Damit tust du den Nutzern sicherlich kaum einen gefallen mit, wenn du in die Welt posaunst, wie man die Systeme manipuliert oder gar killt.

Ich denke, jeder Entwickler weiß nach meiner Beschreibung, welches Problem vorliegt. Außerdem hatte ich auch nie vor, weitere Details zu dem Bug zu veröffentlichen ;). Und ich glaub ich schreib jetzt echt mal ne Mail an die Entwickler. An welche Adresse schreibt man das am besten?

schreibe doch einfach einem admin hier im forum eine PM. aber der bug wurde sicherlich schon an die entsprechende adresse weitergeleitet!