[Fidel]

Ich wurde von einem Sicherheitsforscher über OpenBugBounty auf folgende Lücke aufmerksam gemacht:

Bug : Failure to Invalidate Session Not Invalidated After Password Change

I found a broken authentication vuln

1- Create account at https://www.example.com/member.php
2- login on google chrome (browser a )
3- login the same account on mozilla (browser b)
4- logout on chrome and got forgot password and change the password
5- go to mozilla and refresh page you still logged

See this link: https://www.owasp.org/index.php/Broken_A...Management


Impact
token should expire

If the site has a session issue, The result is the session in the Step 5 is still usable and did not expire yet. Not invalidating the session  is not a good practice for a company.

Das Forum ist auf dem aktuellen Stand. Ist das etwas, was durch Servereinstellungen korrigiert werden kann, oder handelt es sich um ein generelles Problem mit den Sessions bei MyBB?

[StefanT]

Du kannst das gerne ausprobieren, aber es wird nicht wie beschrieben funktionieren. Durch eine Passwortänderung wird ein Benutzer auf allen Geräten (außer dort, wo das Passwort geändert wurde) ausgeloggt.

[doylecc]

Ich wurde von einem Sicherheitsforscher über OpenBugBounty auf folgende Lücke aufmerksam gemacht:

Falls du den Sicherheitsforscher vorher nicht kanntest und er dich von sich aus auf die Lücke aufmerksam gemacht hat, kannst du es sehr wahrscheinlich unter Spam verbuchen. Es gibt in letzter Zeit zahlreiche solche Mitteilungen über OpenBugBounty von Leuten, die Webseitenbetreiber erschrecken wollen in der Hoffnung, dass einige von ihnen die vermeintlichen Lücken schließen lassen - natürlich nicht kostenlos. Dabei spielt das verwendete Skript der Webseite keine Rolle.

Der Text der Nachricht zB. an einen Woltlab-Admin kommt daher seltsam bekannt vor.

[bv64]

yep, das sieht doch unglaublich ähnlich aus

warum sollte so ein Sicherheitsforscher sich auch an einen Nutzer der Software wenden, statt an die Entwickler; macht wohl wenig Sinn; wegwerfen und vergessen!

[Schnapsnase]

Ist das Wort "Sicherheitsforscher" aus dem ersten Post nicht evtl. ein Rechtschreibfehler?
Ich denke, hier war wohl "Sicherheitspfuscher" gemeint.

[Fidel]

Ihr habt recht, ich hätte das vorher testen können. Funktioniert natürlich nicht wie von ihm beschrieben. Er hat mich nochmal angemailt, ob er für diese Entdeckung nicht Geld bekommen würde, da er damit sein Studium finanziert. 

Der Satz machte mich stutzig:

Not invalidating the session  is not a good practice for a company.

Wir sind keine "company" und betreiben das Forum auf eigene Kosten ohne Werbung oder andere Einnahmen.

Der Text der Nachricht zB. an einen Woltlab-Admin kommt daher seltsam bekannt vor.

Genau dieser "Dennis Yassine" ist es bei mir gewesen. Werde ihn auf dieser Bugs Bunny Seite melden.

Edit: Augen auf beim Mail lesen. Die Meldung kam von der Domain @openbugsbounty.com und hat nichts mit Open Bug Bounty zu tun. Es wurde ein existierender Account auf der richtigen Seite verlinkt, der inzwischen gesperrt ist. Ich hatte beruflich mal eine echte Sicherheitslücke von Open Bug Bounty gemeldet bekommen und bin dadurch zu schnell angesprungen.

[itsmeJAY]

So Mails bekomme ich gefühlt täglich. Wieso fällt es anderen teilweise so schwer diese direkt als Fake zu erkennen?

[Fidel]

Bei OpenBugBounty bekommt man nur eine Meldung über die potentielle Lücke direkt von der Seite und muss dann mit dem Entdecker per Mail in Kontakt treten. Das lässt Betrügern viel Freiheit.

Um deine Frage zu beantworten: Du bist halt klüger als andere.

[tc4me]

„Website Security Vulnerability Notification“ – Was Steckt Hinter Den OpenBugBounty Meldungen Per Email?
https://blogs-optimieren.de/3334/website...per-email/