|
|
| Reporter | aj | |
|---|
| Assigned To | aj | |
|---|
| Priority | normal | Severity | minor | Reproducibility | have not tried |
|---|
| Status | resolved | Resolution | fixed | |
|---|
| Projection | none | ETA | none | |
|---|
| Platform | WWW | OS | iCab | OS Version | 3.0b |
|---|
| Product Version | 1.1 | Product Build | | |
|---|
| Target Version | 1.1.5 | Fixed in Version | 1.1.5 | |
|---|
|
|
| Summary | 0000074: neue Kennwörter für nicht existierende Nutzer |
|---|
| Description | Für nicht existierende Nutzer werden neue Kennwörter erzeugt, wenn ein entsprechender EIntrag manuell in skgb-pwtickets hinzugefügt wird. |
|---|
| Steps To Reproduce | (1) eine Zeile wie "abcdefg:hotzenplotz:bb92f7e0:1153846092" in skgb-pwtickets einfügen
(2) neues-kennwort?id=abcdefg aufrufen
Erwartetes Resultat: genau so, als wäre das ID nicht in skgb-pwtickets vorhanden
Tatsächliches Resultat: Es wird ein neues Kennwort generiert und in pw-tcikets gespeichert (allerdings anscheinend nicht in htdigest eingetragen) |
|---|
| Additional Information | Sicherheitsüberlegungen:
Ein Angreifer mit Zugriff auf skgb-pwtickets könnte u. U. einen neuen Nutzer im System anlegen, falls irgendwo nicht genügend Checks vorgenommen werden. |
|---|
| Tags | No tags attached. |
|---|
|
|
| Attached Files |
|
|---|
Relationships 
Relationships