Hoi, zie onderwerp.

Ik ga niet zeggen hoe of iedereen hier is in gevaar. Getest met verschillende ips, os'en, mac-adressen, geen credentials nodig maar wel 1 cookie. Ik heb een POC opgezet met DirectAdmin vriend en helaas werkt het perfect.

Theoretische gevolgen:
- Als ik hier een link post met een site check heb ik elke bezoeker zijn bestanden van alle websites, en dus ook de credentials en het domein van alle databases.
- Ik zou kunnen Adsense codes laten wijzigen door de mijne telkens die geupdate worden
- Algemene schade aanrichten/trollen/defacen van websites
- Gebruikergegevens verkopen
- Kredietkaartgegevens van klanten webshops stelen

Kortom: ookal heb ik een simpele cookie nodig, dit is major. [verwijderd, geeft kenners een clue].

Hoe moet ik dit melden? Het is heel gemakkelijk op te lossen maar toch. Ze hebben wel 10 dingen die ze moeten verbeteren. Hoe kunnen ze dit niet weten? Zijn zij nog actief, doen zij nog aan patches? Ik heb het over de File Manager van DirectAdmin, dus mss niet van hun, dus niks tegen DA zelf. Maar ook best melden aan DA?

Kan ik daar een kleine compensatie voor vragen voor het melden? Ik ben wel zo eerlijk en ik moet ook mijn brood verdienen.

Groetjes

Niels

https://www.directadmin.com/support.php

Ik heb zelf vrij veel beveiligingslekken opgespoord en gemeld, o.a. de ABN, een groot pensioenfonds en zelf www.rijksoverheid.nl. :-)

Van allemaal heb ik mooie bugbounties mogen ontvangen (XXXX,-) alleen het is wel belangrijk dat je het op de juiste manier aanpakt.
Over het algemeen is er een Responsible Disclosure en hier kun je vinden hoe het gemeld kan worden (vaak via een PGP) en dan geef je de ontwikkelaar de tijd en ruimte om het op te lossen. Het mag voor zich spreken dat een geval zoals de jouwe direct opgepakt moet worden en je zelf nooit een PoC publiceert zonder overleg / afspraak met de ontwikkelaar.

Hou ons op de hoogte en mocht je dit een leuke job vinden, check www.cyberstrijder.nl en misschien kunnen we wat voor elkaar betekenen ;-)

De cookie... Heeft de cookie een HttpOnly en/-of de Secure flag?

Je kunt de impact van je bevinding overigens met een CVSS calculator calculeren: https://www.first.org/cvss/calculator/3.1

De cookie is de manier waarop een gebruiker kan bewijzen wie hij zegt dat hij is. Http is namelijk 'stateless' en cookies worden gebruikt om bij te houden welke sessie bij jou hoort. Dus als een cookie noodzakelijk is, betekent dat dat er dus ook een authenticatie noodzakelijk is (waar je een username+password en evt. 2FA voor nodig hebt). Dit zou betekenen dat het niet realistisch is om hier kwaad mee te kunnen.

Als ik de cookies van Sitedeals van iemand weet te onderscheppen, dan kan ik ook alles wat hij normaal zou kunnen. Maar dan moet ik ze alsnog kunnen onderscheppen (bijv. middels een XSS aanval, waarbij de cookie alleen te onderscheppen is als deze de HttpOnly flag niet heeft).

Het is dus de vraag hoe die cookie geplaatst wordt, met of zonder HttpOnly en/of Secure flag. Als ze de HttpOnly of de Secure flag hebben, reken er dan maar op dat je op Low of zelfs op een 0.0 CVSS score uitkomt.

Het beste wat je in dit geval kunt doen is gewoon zelf contact opnemen met Directadmin.
Zal wel in het Engels moeten maar kan via het email adres.

En volgens mij zit er ook een bepaalde duur op de sessie van een cookie. Dus ook al heb je iets, je zult niet lang "hebben" voordat je opnieuw in moet loggen.

@ J van der Linde, dit is een topic van een jaar terug.

Maar nu we toch hier zijn. Hoe is het afgelopen Niels?

Heeft met JWT te maken gok ik.

Origineel gepost door Niek Vleugels

@ J van der Linde, dit is een topic van een jaar terug.

Haha, oops. Bladerde door de rubriek juridisch en dit stond redelijk bovenaan.