Cross-site request forgery im WebIF

mehle

Mitglied
Mitglied seit
26 Jan 2009
Beiträge
273
Punkte für Reaktionen
0
Punkte
0
Im WebIF ist ein CSRF: Das CGI /usr/mww/cgi-bin/passwd.cgi ist anfällig dafür - wenn ein Admin eine präparierte Seite ansurft, kann das Passwort sofort vom Angreifer auf ein neues gesetzt werden.

Bitte fügt noch die Abfrage des derzeitigen Passworts ein und prüft dies vor einer Änderung des Passworts.

Danke
Stephan
 
Update: das CSRF Problem wird noch dadurch intensiviert, dass es kein Logout Button gibt. Dies sollten wir nachholen.

Ich bin mir aber leider nicht sicher, wie der busybox httpd die basic auth verwaltet.

Ciao
Stephan
 
Du kannst deine Posts auch editieren
 
Es gab da irgendwie ein Problem das alte Passwort abzufragen. Aber eigentlich sollte es doch gehen, wenn man die Hashes vergleicht!?

MfG Oliver
 
Danke.

MfG Oliver
 
Super, danke.

Aber was ist mit dem logout? Wir sollten einen Logout button anbieten. Ich habe leider keine Ahnung, wo/wie die Sessions behandelt werden.

Ciao
Stephan
 
Auth Basic verwendet keine Session. Manche browser haben eine Möglichkeit, die Zugangsdaten wieder zu "vergessen". Ansonsten wird bei jeder Anfrage das Paßwort mitgeschickt.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.