+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html)
+--- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-88.html)
+--- Thema: Session wird nach Passwortänderung nicht ungültig (/thread-38132.html)
Session wird nach Passwortänderung nicht ungültig - Fidel - 18.01.2022
Ich wurde von einem Sicherheitsforscher über OpenBugBounty auf folgende Lücke aufmerksam gemacht:
Zitat:Bug : Failure to Invalidate Session Not Invalidated After Password Change
I found a broken authentication vuln
1- Create account at https://www.example.com/member.php
2- login on google chrome (browser a )
3- login the same account on mozilla (browser b)
4- logout on chrome and got forgot password and change the password
5- go to mozilla and refresh page you still logged
See this link: https://www.owasp.org/index.php/Broken_Authentication_and_Session_Management
Impact
token should expire
If the site has a session issue, The result is the session in the Step 5 is still usable and did not expire yet. Not invalidating the session is not a good practice for a company.
Das Forum ist auf dem aktuellen Stand. Ist das etwas, was durch Servereinstellungen korrigiert werden kann, oder handelt es sich um ein generelles Problem mit den Sessions bei MyBB?
RE: Session wird nach Passwortänderung nicht ungültig - StefanT - 18.01.2022
Du kannst das gerne ausprobieren, aber es wird nicht wie beschrieben funktionieren. Durch eine Passwortänderung wird ein Benutzer auf allen Geräten (außer dort, wo das Passwort geändert wurde) ausgeloggt.
RE: Session wird nach Passwortänderung nicht ungültig - doylecc - 18.01.2022
(18.01.2022, 14:00)Fidel schrieb: Ich wurde von einem Sicherheitsforscher über OpenBugBounty auf folgende Lücke aufmerksam gemacht:
Falls du den Sicherheitsforscher vorher nicht kanntest und er dich von sich aus auf die Lücke aufmerksam gemacht hat, kannst du es sehr wahrscheinlich unter Spam verbuchen. Es gibt in letzter Zeit zahlreiche solche Mitteilungen über OpenBugBounty von Leuten, die Webseitenbetreiber erschrecken wollen in der Hoffnung, dass einige von ihnen die vermeintlichen Lücken schließen lassen - natürlich nicht kostenlos. Dabei spielt das verwendete Skript der Webseite keine Rolle.
Der Text der Nachricht zB. an einen Woltlab-Admin kommt daher seltsam bekannt vor.
RE: Session wird nach Passwortänderung nicht ungültig - bv64 - 18.01.2022
yep, das sieht doch unglaublich ähnlich aus
warum sollte so ein Sicherheitsforscher sich auch an einen Nutzer der Software wenden, statt an die Entwickler; macht wohl wenig Sinn; wegwerfen und vergessen!
RE: Session wird nach Passwortänderung nicht ungültig - Schnapsnase - 18.01.2022
Ist das Wort "Sicherheitsforscher" aus dem ersten Post nicht evtl. ein Rechtschreibfehler?
Ich denke, hier war wohl "Sicherheitspfuscher" gemeint.
RE: Session wird nach Passwortänderung nicht ungültig - Fidel - 19.01.2022
Ihr habt recht, ich hätte das vorher testen können. Funktioniert natürlich nicht wie von ihm beschrieben. Er hat mich nochmal angemailt, ob er für diese Entdeckung nicht Geld bekommen würde, da er damit sein Studium finanziert.
Der Satz machte mich stutzig:
Zitat:Not invalidating the session is not a good practice for a company.
Wir sind keine "company" und betreiben das Forum auf eigene Kosten ohne Werbung oder andere Einnahmen.
(18.01.2022, 20:11)doylecc schrieb: Der Text der Nachricht zB. an einen Woltlab-Admin kommt daher seltsam bekannt vor.
Genau dieser "Dennis Yassine" ist es bei mir gewesen. Werde ihn auf dieser Bugs Bunny Seite melden.
Edit: Augen auf beim Mail lesen. Die Meldung kam von der Domain @openbugsbounty.com und hat nichts mit Open Bug Bounty zu tun. Es wurde ein existierender Account auf der richtigen Seite verlinkt, der inzwischen gesperrt ist. Ich hatte beruflich mal eine echte Sicherheitslücke von Open Bug Bounty gemeldet bekommen und bin dadurch zu schnell angesprungen.
RE: Session wird nach Passwortänderung nicht ungültig - itsmeJAY - 20.01.2022
So Mails bekomme ich gefühlt täglich. Wieso fällt es anderen teilweise so schwer diese direkt als Fake zu erkennen?
RE: Session wird nach Passwortänderung nicht ungültig - Fidel - 20.01.2022
Bei OpenBugBounty bekommt man nur eine Meldung über die potentielle Lücke direkt von der Seite und muss dann mit dem Entdecker per Mail in Kontakt treten. Das lässt Betrügern viel Freiheit.
Um deine Frage zu beantworten: Du bist halt klüger als andere.
RE: Session wird nach Passwortänderung nicht ungültig - tc4me - 20.01.2022
„Website Security Vulnerability Notification“ – Was Steckt Hinter Den OpenBugBounty Meldungen Per Email?
https://blogs-optimieren.de/3334/website-security-vulnerability-notification-was-steckt-hinter-den-openbugbounty-meldungen-per-email/