Nickles › Forum › Service › Kritik und Fragen an Nickles

Kritik und Fragen an Nickles 2.713 Themen, 23.043 Beiträge

Verfolgung starten

Gravierende Sicherheitslücke bei Nickles. Wo melden?

Synthetic_codes am 08.07.2009, 13:14 / 25 Antworten / Flachansicht

Moinsen... Ich habe mal wieder eine Sicherheitslücke im Nickles CMS entdeckt, die in die kategorie GAU einzustufen wäre. Aus diesem grund will ich die natürlich nicht öffentlich melden. Wie ist das bei euch vorgesehen? Ein Kontaktformular wäre da vielleicht auch mal nicht unnütz :-)

Nanu, was macht denn mein auf Otto-Normal gestellter IE, wenn ich den ... kongking 08.07.2009, 14:15

richtig, genau darum gings. Ich habe Mike zeitgleich über das problem ... Synthetic_codes 08.07.2009, 15:28

worum gehts denn?? ich hatte mir das mit 3 Browsern angeschaut und konnte ... chrissv2 08.07.2009, 17:32

es gab eine XSS verwundbarkeit in den Signaturen. Dadurch war es möglich, ... Synthetic_codes 08.07.2009, 17:58

Hi Syn Codes, Dickes Dankeschön, dass du so aufmerksam bist, ... Olaf19 08.07.2009, 18:26

jeder der einen thread mit präparierter sig aufruft, und die maus bewegt. ... Synthetic_codes 08.07.2009, 18:45

Widerspruch - Als ich mit dem IE mit dem Mauszeiger über dem Bild war, ... kongking 08.07.2009, 19:15

Moment Kongking - der Parameter, den SynCodes eingesetzt hat, heißt aber ... Olaf19 08.07.2009, 23:20

Hallo Olaf, was Synthetik_codes da jetzt exakt gemacht hat, kann ich Dir ... kongking 09.07.2009, 11:05

dann will ich mal den quelltext meines exploits posten: is ja nur eine zeile Synthetic_codes 09.07.2009, 12:25

javascript Synthetic_codes 09.07.2009, 12:27

EDIT 2: Der leere Post über diesem bestätigt meine vermutung, das wort J A ... Synthetic_codes 09.07.2009, 12:28

Etwas Grundsätzliches, was ich sehr erstaunlich finde... Meine Accountdaten ... Olaf19 09.07.2009, 14:42

So wie ich das als HMTLHTMMHL-laie verstanden habe wird einfach dein Cookie ... chrissv2 09.07.2009, 14:49

Dass das ganz einfach geht, ist auch mein Eindruck. Ich bin nur etwas ... Olaf19 09.07.2009, 15:02

Olaf19 „Dass das ganz einfach geht, ist auch mein Eindruck. Ich bin nur etwas entsetzt...“

09.07.2009, 15:08 Optionen

naja prinzipiell hat er die schon

Das Versäumnis liegt aber an ganz anderer stelle, Passwörter im Klartext auf dem Rechner geht mal überhaupt nicht. Wobei das mit Firefor ja auch sone Sache ist. Ein paar Minuten unbeobachtet an einem fremden rechner und man hat die wichtigsten Passwörter und Nutzernamen.

[Edit]
Firefox > Extras > Einstellungen > Datenschutz > einzelne Cookies > nickles.de > login

mfg
chris

Wenn du das Cookie im Firefox löschst, verhinderst du nur, dass ein ... Olaf19 09.07.2009, 17:00

genau deshalb gehe ich mit iPod und Phone auch nicht in den Fips. Reicht ja ... chrissv2 09.07.2009, 17:16

Uralte Sicherheitslücke bei Nickles. Warum nicht früher? xafford 08.07.2009, 19:58

Tut mir leid, Xaff - ich kann mich an diese Diskussion nicht mehr erinnern. ... Olaf19 08.07.2009, 23:16

Es gab keinen Thread, das hatte ich damals per Email mitgeteilt. xafford 09.07.2009, 09:27

Moinsen... Ich habe mal wieder eine Sicherheitslücke im Nickles CMS ... kds 09.07.2009, 11:57

da die lücke weg ist, sehe ich da kein grösseres problem. wie man eine XSS ... Synthetic_codes 09.07.2009, 13:19

http://www.nickles.de/user/images/111275/xaff.jpg ... jueki 16.07.2009, 07:25

Hi Synthetic codes, an dieser Stelle auch hier noch mal vielen Dank für die ... Michael Nickles 09.07.2009, 21:51