Use of GET Request Method With Sensitive Query Strings

Beschreibung der Entdeckung: Ein potenziell kompromittierter Administrator, der entweder Zugriff zu den stashcat Webserver Logs oder SSL-Gateway Logs im Rahmen seiner Administrationsfunktion besitzt, kann darüber die Session ID abrufen und sich damit arglistig Zugriff zu einem fremden Account verschaffen.

Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller aufgrund der spezifischen Voraussetzungen als unkritisch. Ein Nutzer muss Zugang zur Client ID und der Device ID besitzen und zunächst an diese Daten gelangen, um Zugriffe durchführen zu können. Dies ist lediglich möglich, wenn der fremde Nutzer auf dem entsprechenden Gerät noch eingeloggt ist. Device ID und Client Key sind auch beim Versand als GET Parameter durch die TLS Verschlüsselung geschützt. Da bei dem skizzierten Man-In-The-Middle Szenario auch POST Parameter ausgelesen werden könnten, sieht der Hersteller das Versenden von GET Parametern nicht als optimal, jedoch auch nicht als kritisch an. Eine Änderung des Verhaltes wurde mit der Version 3.10 umgesetzt.