Moinsen... Ich habe mal wieder eine Sicherheitslücke im Nickles CMS entdeckt, die in die kategorie GAU einzustufen wäre. Aus diesem grund will ich die natürlich nicht öffentlich melden. Wie ist das bei euch vorgesehen? Ein Kontaktformular wäre da vielleicht auch mal nicht unnütz :-)
Synthetic_codes 
chrissv2 „worum gehts denn?? ich hatte mir das mit 3 Browsern angeschaut und konnte nichts...“
es gab eine XSS verwundbarkeit in den Signaturen. Dadurch war es möglich, die Session sowie die Logindaten jedes aufrufers einer Seite mit einem Beitrag eines Autors mit präparierter signatur(wtf was ein satz^^) zu stehlen.
Dies hatte ich auch praktisch demonstriert, eben indem ich meine signatur "präpariert" hatte. im prinzip war an das bild eine Javascript-zeile angeheftet, die per OnMouseMove Event getriggert wurde, und ein unsichtbares bild in den ersten Div-Container der Seite einfügte. der src dieses unsichtbaren bildes verwies auf ein PHP script und sendete per GET methode den Inhalt von document.cookie mit. Da das nickles CMS seine nutzer anhand der Cookies identifiziert(wenn man die cookies auf einen anderen Rechner kopiert, bleibt man an diesem anderen rechner eingelogged), konnte man auf diese weise die Session eines benutzers übernehmen. Solche Schwächen treten auch in mainstream-software immer wieder auf, Berühmte Beispiele sind zb PhpBB2,
in dem sich alle paar tage eine neue XSS Lücke findet.
Wer sich weiter für das Thema XSS interessiert, sei hierhin: http://de.wikipedia.org/wiki/Cross-Site_Scripting verwiesen.
konkret bedeutet dass, dass ein böswilliger benutzer alle benutzeraccounts nach belieben hätte übernehmen können.
Ich hoffe das geht soweit ok, nachdem die signaturen bereinigt wurden, da sich der bug jetzt nicht mehr ausnutzen lassen sollte. Wenn nicht bitte ich einen VIP/admin die kritischen stellen zu zensieren.
An Alle Webentwickler möchte ich an dieser stelle nocheinmal das Wort richten, wie wichtig das Prüfen von eingaben an PHP scripte ist, auch wenn es eben immer mal wieder sein kann, dass man etwas vergisst. Und viel Glück an die Nickles Redaktion beim finden einer neuen Lösung :-)
