Cross-site request forgery im WebIF

[mehle]

Im WebIF ist ein CSRF: Das CGI /usr/mww/cgi-bin/passwd.cgi ist anfällig dafür - wenn ein Admin eine präparierte Seite ansurft, kann das Passwort sofort vom Angreifer auf ein neues gesetzt werden.

Bitte fügt noch die Abfrage des derzeitigen Passworts ein und prüft dies vor einer Änderung des Passworts.

Danke
Stephan

 

[mehle]

Update: das CSRF Problem wird noch dadurch intensiviert, dass es kein Logout Button gibt. Dies sollten wir nachholen.

Ich bin mir aber leider nicht sicher, wie der busybox httpd die basic auth verwaltet.

Ciao
Stephan

 

[cuma]

Du kannst deine Posts auch editieren

 

[olistudent]

Es gab da irgendwie ein Problem das alte Passwort abzufragen. Aber eigentlich sollte es doch gehen, wenn man die Hashes vergleicht!?

MfG Oliver

 

[buehmann]

Ja, geht. Ich habe mir mal die Freiheit genommen, diese kleine Änderung einzubauen: http://trac.freetz.org/changeset/3597

Andreas

 

[olistudent]

Danke.

MfG Oliver

 

[mehle]

Super, danke.

Aber was ist mit dem logout? Wir sollten einen Logout button anbieten. Ich habe leider keine Ahnung, wo/wie die Sessions behandelt werden.

Ciao
Stephan

 

[RalfFriedl]

Auth Basic verwendet keine Session. Manche browser haben eine Möglichkeit, die Zugangsdaten wieder zu "vergessen". Ansonsten wird bei jeder Anfrage das Paßwort mitgeschickt.