TipMaster Stammtisch
TipMaster - Hauptseite

BTM Login - TMI Login

Zurück   TipMaster Stammtisch > TipMaster Stammtisch > Technische Probleme
Seite neu laden Sicherheitsprobleme beim TM
Registrieren Chat Hilfe Benutzerliste Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

 
 
Themen-Optionen Ansicht
Zurück Vorheriger Beitrag   Nächster Beitrag Nächste
  #8  
Ungelesen 05.10.2013, 00:54
Andreas Samjeske Andreas Samjeske ist offline
 
Registriert seit: 10.04.2009
Beiträge: 251
Ausrufezeichen
Ich habe mir in den letzten Tagen eine Reihe der TM-Seiten intensiv angeschaut. Zur Demonstration gibt es hier einen kleinen Exploit:

http://tipmaster.de/cgi-mod/btm/trai...t=Hans%20Meyer

Ans Passwort anderer Spieler zu kommen ist also ein Kinderspiel. Nun soll es immer noch viele Leute geben, die für Alles das gleiche Passwort nutzen. Hat man erstmal Zugriff aufs E-Mail-Postfach kann es schnell unangenehm werden. Mittels Passwort-Rücksetztroutine der einzelnen Seiten stehen dann auch Amazon, Ebay, Apple Store, Google Play, Facebook, etc. offen.

Will TipMaster für den Schaden seiner Mitspieler verantwortlich gemacht werden?

Neben dem Aspekt des externen Schadens, steht noch der des internen Schadens. Will sagen, es ist möglich die Tippabgaben von Spieler einzusehen, zu ändern, oder gar den Account zu löschen.

Besonders übel sind zwei Seiten, da sie "user content" speichern und anderen Anzeigen:
- Profil Seite (wie oben im Exploit)
- MessageBox

Hier wäre es sogar möglich einen JavaScript-Wurm einzuschleußen:
- Jeder, der ein infiziertes Profil betrachtet, infiziert unbemerkt sein eigenes.
- Jeder, der eine infizierte Nachricht öffnet, sendet unbemerkt selber infizierte Nachrichten an anderer.

Dabei ist eine Infektion nicht so "freundlich" wie der Exploit oben und sagt dem User, dass gerade etwas passiert ist. Im Gegenteil: Besonders der Wurm im Profil hätte die Möglichkeit lange unentdeckt zu bleiben, da keine Spuren sichtbar würden. Auch könnte hier Code eingeschleußt werden, der die Rechner der Spieler infiziert!

Fazit:
- TipMaster hat keinerlei Passwortsicherheit!
- TipMaster kann als Virenschleuder missbraucht werden!

kleines FAQ
Was bedeutet das für die Mitspieler?
Benutzt euer TM-Passwort nur beim TM! Es kann euch niemand sagen, ob es nicht bereits in falsche Hände geraten ist.

Ist mein Rechner beim Surfen auf tipmaster.de in Gefahr?
Vermutlich nicht, aber man kann es nicht ausschließen. Oben erwähnte JS-Würmer könnten durchaus Sicherheitslücken in Browsern ausnutzen. Man sollte sein System immer up-to-date halten!

Warum mache ich diese Probleme hier öffentlich?
Ich habe die Verantwortlichen des TM bereits vor über einem Jahr auf Schwachstellen hingewiesen und meine Hilfe angeboten. Es gab keine Reaktion. Vor 3 Monaten habe ich dann die Veröffentlichung angekündigt.
Dies ist ein anerkanntes Vorgehen, wenn man Sicherheitsprobleme entdeckt, meldet, aber keine Reaktion erfolgt.
http://en.wikipedia.org/wiki/Responsible_disclosure

Abschließend möchte ich darauf hinweisen, dass ich für Rückfragen zur Verfügung stehe, weiterhin bei der Behebung der Probleme zur Mitarbeit bereit bin und keinerlei finanzielle Interessen verfolge.

Andreas Samjeske
__________________
Andreas Samjeske
  SV Werder Bremen     1.Bundesliga     15. Platz
  Rayo Vallecano     Spanien Primera Division     10. Platz
Mit Zitat antworten
 

« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Baum-Darstellung Baum-Darstellung

Forumregeln
Es ist Ihnen erlaubt, neue Themen zu verfassen.
Es ist Ihnen erlaubt, auf Beiträge zu antworten.
Es ist Ihnen erlaubt, Anhänge hochzuladen.
Es ist Ihnen erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu




Alle Zeitangaben in WEZ +2. Es ist jetzt 23:02 Uhr.

TipMaster - Archiv - Nach oben

Powered by vBulletin® Version 3.8.2 (Deutsch)
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.