Kritik an (Daten-)Sicherheit von klamm.de

Der Bug jetzt ... ich schau den Rest schon durch.
Aber das sind >1000 Files und das dauert seine Zeit.
 
Also ich find das nicht so tragisch das bei so einer riesigen Internetseite , Sicherheitslücken sind .


Sogar eBay hat massig Sicherheitslücken.


Aber LUkas hat sich was beim Programmieren schon was gedacht ;)

Die Cookies sind auch ziemloich komplex gemacht worden ;) , wenn ich mich nicht täusche hat Klamm.de eine eigene verschlüsselung und nicht wie die meißten md5 oder so .


Hab zwar auch mal eine Sicherheitslücke gefunden ;) aber ich habe sie mit einem Kumpel ausprobiert ;) die kann man nicht wirklich ausnutzen ;)...


Man ist zwar eingeloggt kann aber keine Transaktionen etc vornehmen..
 
Syka schrieb:
Also ich find das nicht so tragisch das bei so einer riesigen Internetseite , Sicherheitslücken sind .

Sogar eBay hat massig Sicherheitslücken.
Zum Vergrößern anklicken....
Eine riesige Internetseite sollte aber erst recht darauf schauen, da ihr eine Menge Menschen vertrauen (sollen/können/müssen). Welche Sicherheitslücken hat(te) eBay denn? Da gibt's aber mindestens eine Hand voll Leute, die sich darum kümmert (sind auch andere Dimensionen).

Syka schrieb:
Aber LUkas hat sich was beim Programmieren schon was gedacht ;)
Zum Vergrößern anklicken....
Wie/was?

Syka schrieb:
Die Cookies sind auch ziemloich komplex gemacht worden ;) , wenn ich mich nicht täusche hat Klamm.de eine eigene verschlüsselung und nicht wie die meißten md5 oder so .
Zum Vergrößern anklicken....
Sorry, aber auch das musst du erklären. Wie kann man Cookies ziemlich komplex machen? Eine eigene "Verschlüsselung"? Wo? Glaube ich eher nicht! Wie kommste drauf?


Syka schrieb:
Hab zwar auch mal eine Sicherheitslücke gefunden ;) aber ich habe sie mit einem Kumpel ausprobiert ;) die kann man nicht wirklich ausnutzen ;)...
Zum Vergrößern anklicken....
Na ja.. ist die Frage, ob ihr beide da die richtigen sind, die sich da auskennen.


Syka schrieb:
Man ist zwar eingeloggt kann aber keine Transaktionen etc vornehmen..
Zum Vergrößern anklicken....
?


Nicht gegen dich btw!
 
happymaster schrieb:
Eine riesige Internetseite sollte aber erst recht darauf schauen, da ihr eine Menge Menschen vertrauen (sollen/können/müssen). Welche Sicherheitslücken hat(te) eBay denn? Da gibt's aber mindestens eine Hand voll Leute, die sich darum kümmert (sind auch andere Dimensionen).
Zum Vergrößern anklicken....

nuya ich habe mich ne Zeitlang mit sowas beschäftigt und habe selber ( eine sehr einfache Lücke gefunden , sogar Youtube etc ..... ;)

Wie/was?
Zum Vergrößern anklicken....
sry ist falsch rübergekommen ;) sollte heißen das sich Lukas bei der Programmierung schon sich Sorgen gemacht hat bzg. der Sicherheit


Sorry, aber auch das musst du erklären. Wie kann man Cookies ziemlich komplex machen? Eine eigene "Verschlüsselung"? Wo? Glaube ich eher nicht! Wie kommste drauf?
Zum Vergrößern anklicken....
Die meißten Seiten Seiten , Scripte etc. speichern das Passwort in md5 im Cookie ;) .... Guck dir mal den Cookie an ;) findest du einen md5 (und sonstige) hash der mit deinem Passwort übereinstimmt ? ;



Na ja.. ist die Frage, ob ihr beide da die richtigen sind, die sich da auskennen.
Zum Vergrößern anklicken....

...



?
Zum Vergrößern anklicken....
Also ich habe ne Sicherheitslücke gefunden :) indem ich die Cookies von User klauen könnte ;) ... da ich beim Cookie keinen md5 hash etc. Cracken konnte habe ich versucht via Cookie Faking reinzukommen ( also im Account vom Kumpel mit erlaubnis ^^)

War eingeloggt konnte jedoch gar nichts machen ...
 
Das, was du im zweiten Abschnitt des Cookies siehst, nennt man BASE64. Dekodiert man diesen String, kommt das Passwort im Plaintext raus.
Weiß aber jeder, der sich auch nur annähernd mit Programmierung beschäftigt hat, wenn du mich fragst - sorry ;)
 
raven schrieb:
Das, was du im zweiten Abschnitt des Cookies siehst, nennt man BASE64. Dekodiert man diesen String, kommt das Passwort im Plaintext raus.
Weiß aber jeder, der sich auch nur annähernd mit Programmierung beschäftigt hat, wenn du mich fragst - sorry ;)
Zum Vergrößern anklicken....

mhh kannst mir wenigstens den namen vom Cookie sagen damit ich weiß welchen du meinst ?

ich habe einen String in Base64 decodieren lassen ;) die ersten zahlen waren meine ID un der Rest war nur müll :)
 
Syka schrieb:
mhh kannst mir wenigstens den namen vom Cookie sagen damit ich weiß welchen du meinst ?

ich habe einen String in Base64 decodieren lassen ;) die ersten zahlen waren meine ID un der Rest war nur müll :)
Zum Vergrößern anklicken....
Falsch. Der Rest war BASE64 ;)
Ich rede vom Cookie "kuser" ;)

raven

Edit: Du solltest darauf achten, es sind mehrere BASE64-Strings aneinandergekettet, seperiert mit |
 
Ohhh ahhhh!

Das hätte ich nicht gedacht, ich bin wirklich etwas erschüttert oder ist das hier ein bissel übertrieben dargestellt?
 
@raven, guck doch beim nächsten mal wieviel lose es gibt ;)
Hatte dir mal ne PN geschickt wegen Sicherheitslücken suchen (bei mir), hatte aber keine Antwort bekommen :(
 
Bububoomt schrieb:
@raven, guck doch beim nächsten mal wieviel lose es gibt ;)
Hatte dir mal ne PN geschickt wegen Sicherheitslücken suchen (bei mir), hatte aber keine Antwort bekommen :(
Zum Vergrößern anklicken....



Der Raven ist auch hoch ebschäftigt immoment^^, der soll auch noch bei mir vorbei schauen das ist wichtig für ihn^^

Syka schrieb:
wenn ich mich nicht täusche hat Klamm.de eine eigene verschlüsselung und nicht wie die meißten md5 oder so .
Zum Vergrößern anklicken....


ne hat Klamm nciht die sind net verschlüsselt
 
Huj, habe diesen Thread erst jetzt entdeckt.

Interessant finde ich, dass dieser Thread nicht ins Kontakt-zu-Admins-Forum verschoben wurde, so wie einst mein Thread zu einer Sicherheitslücke (gut, ich war auch so "böse" öffentlich darüber zu posten, bevor die Sicherheitslücke gefixt war und ich habe mir sogar erlaubt die Sicherheitslücke auszunützen, so dass manche dann den gleichen Avatar wie ich hatten :biggrin:)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

News-Bot
News Jeder vierte Schüler wird gefahren: Kritik an Eltern-Taxis
Antworten
1
Aufrufe
1K
Spacyman
Spacyman
News-Bot
News Expansion trotz Kritik: Tesla darf in Grünheide ausbauen
Antworten
1
Aufrufe
1K
Spacyman
Spacyman
Zurück
Oben