Diese Board wurde aus Spamschutz-Gründen auf minimale Funktionen beschränkt.
Nutze für neue Anfragen/Bug-Reports bitte meine Gitlab-Instanz.

Sicherheitslücke in Sessionverwaltung

Hilfe bei Installation oder einem Update der Filmverwaltung. Behebung von aufgetretenen Fehlern

Moderator: Lifestyle

Antworten
Benutzeravatar
Lifestyle
Beiträge: 406
Registriert: Mo 17. Sep 2007, 20:24
Wohnort: Helpsen
Kontaktdaten:

Sicherheitslücke in Sessionverwaltung

Beitrag von Lifestyle »

Hallo Domi,

ich habe heute eine Sicherheitslücke im Programmcode aufgetan. Und zwar haben wir in meiner Umgebeung ca 5-6 Rechner hinter einer Firewall hängen. Dies können sich alle in die Filmdatenbank mit eigenem User anmelden. ALlerdings werden nicht die Userdaten angezeigt die zu den entsprechenden Usern gehören, sondern immer die Daten des zuletzt eingeloggten Users sind bei allen PCs sichtbar.

Da scheint was mit der Sessionverwaltung nicht richtig zu funktionieren !!!!
MFG
L!f3

Bugs melden unter: http://bugs.lifeshammer.de (Auch Wünsche)
Anmeldung zum Bugtracker: http://bugs.lifeshammer.de/signup_page.php
Benutzeravatar
der-domi
Site Admin
Beiträge: 673
Registriert: Di 4. Apr 2006, 19:22
Kontaktdaten:

Re: Sicherheitslücke in Sessionverwaltung

Beitrag von der-domi »

Kannst du dazu ein Beispiel geben, wie das funktioniert? Ich kann es nicht nachvollzeihen.
Nicht verzagen, Domi fragen

Viele Grüße
Dominik
Benutzeravatar
Lifestyle
Beiträge: 406
Registriert: Mo 17. Sep 2007, 20:24
Wohnort: Helpsen
Kontaktdaten:

Re: Sicherheitslücke in Sessionverwaltung

Beitrag von Lifestyle »

Also,

ich logge mich mit meinm pc in die filmverwaltung ein.
bewerte hier ein film und bewerte dort ein film.

Nun loggt sich meine Freundin an Ihrem PC in die Filmverwaltung ein. Ihr wird angezeigt, dass Sie als Meine Freundin eingeloggt ist. Jedoch sieht sie meine Adminmenüs und die Filmlisten sind die von mir gesehenen und ungesehehen Filme drinne.


Hmm, ich hab grad versucht es nachzuvollziehen, ess haut aber irgendwie nicht hin,......
MFG
L!f3

Bugs melden unter: http://bugs.lifeshammer.de (Auch Wünsche)
Anmeldung zum Bugtracker: http://bugs.lifeshammer.de/signup_page.php
Benutzeravatar
der-domi
Site Admin
Beiträge: 673
Registriert: Di 4. Apr 2006, 19:22
Kontaktdaten:

Re: Sicherheitslücke in Sessionverwaltung

Beitrag von der-domi »

Wie? Auf einem anderen PC wird sich eingeloggt? Ist der Nutzer auf dem ersten Rechner dann noch eingeloggt? Was passiert, wenn man den Logout-Button drückt und man sich dann einloggt? Wie ist das mit dem gleichen Rechner?
Nicht verzagen, Domi fragen

Viele Grüße
Dominik
Benutzeravatar
Lifestyle
Beiträge: 406
Registriert: Mo 17. Sep 2007, 20:24
Wohnort: Helpsen
Kontaktdaten:

Re: Sicherheitslücke in Sessionverwaltung

Beitrag von Lifestyle »

der-domi hat geschrieben:Wie? Auf einem anderen PC wird sich eingeloggt? Ist der Nutzer auf dem ersten Rechner dann noch eingeloggt? Was passiert, wenn man den Logout-Button drückt und man sich dann einloggt? Wie ist das mit dem gleichen Rechner?

Also ich kann dir Schilder wie es gewesen ist.
Es ist dadurch aufgefallen, weil meine Freundin an einem anderen PC ausgeliehende Filme hatte. Die aber ich eigentlich an mich selbst ausgeliehen habe, damit sie geblockt sind.

Nachdem ich Sie ausgeloggt habe und dann wieder eingeloggt war dann wieder alles ok,...
Aber ich bekomm das nicht nachgestellt.
MFG
L!f3

Bugs melden unter: http://bugs.lifeshammer.de (Auch Wünsche)
Anmeldung zum Bugtracker: http://bugs.lifeshammer.de/signup_page.php
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot] und 1 Gast