Kritik und Fragen an Nickles 2.713 Themen, 23.043 Beiträge

Verfolgung starten Optionen

Gravierende Sicherheitslücke bei Nickles. Wo melden?

Synthetic_codes / 25 Antworten / Flachansicht Nickles

Moinsen... Ich habe mal wieder eine Sicherheitslücke im Nickles CMS entdeckt, die in die kategorie GAU einzustufen wäre. Aus diesem grund will ich die natürlich nicht öffentlich melden. Wie ist das bei euch vorgesehen? Ein Kontaktformular wäre da vielleicht auch mal nicht unnütz :-)

'); DROP TABLE users;--
bei Antwort benachrichtigen
Nanu, was macht denn mein auf Otto-Normal gestellter IE, wenn ich den ... kongking
richtig, genau darum gings. Ich habe Mike zeitgleich über das problem ... Synthetic_codes
worum gehts denn?? ich hatte mir das mit 3 Browsern angeschaut und konnte ... chrissv2
es gab eine XSS verwundbarkeit in den Signaturen. Dadurch war es möglich, ... Synthetic_codes
Hi Syn Codes, Dickes Dankeschön, dass du so aufmerksam bist, ... Olaf19
jeder der einen thread mit präparierter sig aufruft, und die maus bewegt. ... Synthetic_codes
Widerspruch - Als ich mit dem IE mit dem Mauszeiger über dem Bild war, ... kongking
Moment Kongking - der Parameter, den SynCodes eingesetzt hat, heißt aber ... Olaf19
Hallo Olaf, was Synthetik_codes da jetzt exakt gemacht hat, kann ich Dir ... kongking
dann will ich mal den quelltext meines exploits posten: is ja nur eine zeile Synthetic_codes
javascript Synthetic_codes
EDIT 2: Der leere Post über diesem bestätigt meine vermutung, das wort J A ... Synthetic_codes
Etwas Grundsätzliches, was ich sehr erstaunlich finde... Meine Accountdaten ... Olaf19
So wie ich das als HMTLHTMMHL-laie verstanden habe wird einfach dein Cookie ... chrissv2
Dass das ganz einfach geht, ist auch mein Eindruck. Ich bin nur etwas ... Olaf19
naja prinzipiell hat er die schon Das Versäumnis liegt aber an ganz anderer ... chrissv2
Wenn du das Cookie im Firefox löschst, verhinderst du nur, dass ein ... Olaf19
genau deshalb gehe ich mit iPod und Phone auch nicht in den Fips. Reicht ja ... chrissv2
Uralte Sicherheitslücke bei Nickles. Warum nicht früher? xafford
Tut mir leid, Xaff - ich kann mich an diese Diskussion nicht mehr erinnern. ... Olaf19
Es gab keinen Thread, das hatte ich damals per Email mitgeteilt. xafford
Moinsen... Ich habe mal wieder eine Sicherheitslücke im Nickles CMS ... kds
Synthetic_codes kds „ Deswegen postet man das in einem öffentlich zugänglichen Thread und schiebt...“
Optionen

da die lücke weg ist, sehe ich da kein grösseres problem. wie man eine XSS Attacke durchführt, ist kein geheimnis, anleitungen dazu liefert google zuhauf, teilweise so verständlich erklärt, dass ein grundschüler damit unfug treiben kann. Das schwierige an dieser art von Angriffen ist eher das finden verwundbarer elemente in Websites.

Im übrigen habe ich diesen Fred speziell als konstruktive Kritik eröffnet, eben weil ich anregen wollte, für zukünftige events dieser Art eine Schnittstelle im Nickles CMS einzurichten, damit man als user direkt und diskret derartige schwächen melden kann.

Warum ich das zeug hier erklärt habe? Nunja, nickles ist eine Community zwischen Leuten die was von IT verstehen und solchen die etwas von IT verstehen lernen wollen. (so sehe ich das). Da sich hier einige Privat und semiprofessionelle Webentwickler tummeln,kann man diesen bei der Gelegenheit die möglichen auswirkungen und angriffsmöglichkeiten aufzeigen, und ihnen somit noch näher legen, alle eingaben der User auf ihren Websites zu parsen.

'); DROP TABLE users;--
bei Antwort benachrichtigen
http://www.nickles.de/user/images/111275/xaff.jpg ... jueki
Hi Synthetic codes, an dieser Stelle auch hier noch mal vielen Dank für die ... Michael Nickles