U-Labs
  1. 30.04.2014, 01:03 #1
    orion-x
    orion-x ist offline
    Grünschnabel
    Registriert seit
    01.12.2011
    Beiträge
    41
    Thanked 39 Times in 16 Posts

    Standard Sicherheitslücke: Uploaded.net und Jdownloader 1

    Mir ist vorhin aufgefallen das Uploaded.net eine Sicherheitslücke hat was Premium Accounts angeht.
    Und zwar teile ich oft Accounts mit meinen Freunden. Nun ist mir aufgefallen das er das Passwort geändert hat da ich mich weder beim erneuten eingeben der Login Daten auf Uploaded.net natürlich nicht anmelden konnte auch ein eintragen der Daten in Jdownloader 2 gab mir ein "Falsche Logindaten" aus.

    Jedoch beim Kopieren der alten JDownloader config Dateien hat er den Account angenommen und mich laden lassen... (Passwort war dasselbe welches bei mir immer falsch war) Auch nach Eingabe von irgendwelchen erfundenen Daten bei dem bereits eingetragenen Account lies Jdownloader mich von Uploaded.net laden.

    Dann habe ich mir das ganze mal genauer angeguckt und zwar speichert Jdownloader Accounts im Format:
    Code:
    Musteraccount:MusterPw true Property: {token=211R882Defgw2312632, free=false, tokenType=premium}
    Und da Jdownloader die API von Uploaded.net nutzt scheint es bei der Übergabe der Daten zu reichen den Token zum Download einer Datei zu übergeben. Woraus folgt, war ein Uploaded.net Account einmal in Jdownloader eingetragen, ist es egal ob und wie man die Account Daten abändert man anhand des nicht veränderten Tokens endlos weiter Zugang hat, selbst nach einem Passwort Change des Besitzers.

    Fazit: Gebt acht mit wem ihr euren Uploaded.net Account teilt trägt er sie einmal in JDownloader ein und behält seine Config Dateien wird er den Zugang behalten selbst nach einem Passwort wechsel von eurer Seite.

    Korrigiert mich wenn ich mit meiner Vermutung Falsch liege, ich hatte nur keine andere Erklärung dafür wieso mich Jdownloader trotz Fakedaten weiter vom Account laden lässt und das schon seit mehreren Monaten mir ist der PW Change erst heute aufgefallen als ich mich versucht habe auf Uploaded.net einzuloggen.
    Zitieren Zitieren

  2. The Following 6 Users Say Thank You to orion-x For This Useful Post:

    Bubble Gum (30.04.2014), Jokuu (24.06.2014), Saad (24.06.2014), TomatenKetchup (30.04.2014), Tony Montana (21.05.2014), westside91 (24.06.2014)
  3. 24.06.2014, 19:14 #2
    Drain
    Drain ist offline
    Grünschnabel
    Registriert seit
    07.02.2014
    Beiträge
    48
    Thanked 7 Times in 5 Posts

    Standard AW: Sicherheitslücke: Uploaded.net und Jdownloader 1

    Sehr genial, eventuell reicht es nun, dass man den Token und das Passwort weiter gibt und kein fremder mehr das Passwort changen kann (wenn man andere mitusen lässt)
    Zitieren Zitieren

  4. The Following User Says Thank You to Drain For This Useful Post:

    westside91 (24.06.2014)
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. JDownloader/uploaded.to problem
    Von chellux im Forum Internet und Technik
    Antworten: 2
    Letzter Beitrag: 13.09.2013, 20:13
  2. Codesperre: Sicherheitslücke mit iOS 6.1.3 geschlossen
    Von Devon im Forum IT & Technik News
    Antworten: 3
    Letzter Beitrag: 20.03.2013, 15:03
  3. Gravierende Sicherheitslücke in iOS 6.1
    Von Devon im Forum iOS
    Antworten: 1
    Letzter Beitrag: 15.02.2013, 16:58
  4. Sicherheitslücke auf made-e.com
    Von DMW007 im Forum Hosting
    Antworten: 1
    Letzter Beitrag: 24.04.2012, 18:48
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.