Use of GET Request Method With Sensitive Query Strings

CWE 598

Vom 17. Mai 2020

Eingestuft als unkritisch

Beschreibung der Entdeckung: Ein potenziell kompromittierter Administrator, der entweder Zugriff zu den stashcat Webserver Logs oder SSL-Gateway Logs im Rahmen seiner Administrationsfunktion besitzt, kann darüber die Session ID abrufen und sich damit arglistig Zugriff zu einem fremden Account verschaffen.

 

Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller aufgrund der spezifischen Voraussetzungen als unkritisch. Ein Nutzer muss Zugang zur Client ID und der Device ID besitzen und zunächst an diese Daten gelangen, um Zugriffe durchführen zu können. Dies ist lediglich möglich, wenn der fremde Nutzer auf dem entsprechenden Gerät noch eingeloggt ist. Device ID und Client Key sind auch beim Versand als GET Parameter durch die TLS Verschlüsselung geschützt. Da bei dem skizzierten Man-In-The-Middle Szenario auch POST Parameter ausgelesen werden könnten, sieht der Hersteller das Versenden von GET Parametern nicht als optimal, jedoch auch nicht als kritisch an. Eine Änderung des Verhaltes wurde mit der Version 3.10 umgesetzt.

Ihr Datenschutz ist uns wichtig: Standardmäßig erheben wir keine Analyse-Daten Ihres Besuchs! Um unsere Webseite jedoch fortlaufend verbessern zu können, tracken wir anynomisierte Daten der Webseitennutzung, sollten Sie damit Einverstanden sein. Sie können die Einstellungen zur Verwendung von Cookies jederzeit im Fußbereich der Webseite ändern. Näheres hierzu entnehmen Sie bitte unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wählen Sie aus, zu welchem Zweck diese Website Cookies verwenden darf:

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

NICHT gestattete Funktionalität

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

NICHT gestattete Funktionalität

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen