[SQL] MYSQL - Injections

Dieses Thema im Forum "Webentwicklung" wurde erstellt von Dark|pUM4, 13. Juni 2010 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 13. Juni 2010
    MYSQL - Injections

    Hallo Leute,

    ich habe eine Frage.

    In den Tutorials für MYSQL - Injections wird beschreiben, wenn ich zb.

    http://meineurl.com/00_cms/index.php?modul=profil&user_id=2
    ein ' setze also:
    http://meineurl.com/00_cms/index.php?modul=profil&user_id=2'

    und dann kommt kein error, dann ist diese seite nicht anfällig für MYSQL Injections.

    Ist das richtig? Ich bin nämlich gerade dabei mein neues CMS auf Sicherheitslücken zu testen
    und versuche mir etwas Knof How anzueignen. Aber ich scheitere bereits an den Basics

    Danke!
     
  3. 13. Juni 2010
    AW: MYSQL - Injections

    dann ist dieser eine parameter nicht anfällig für injections, ob der rest deiner seite nicht anfällig ist kann man zu diesem zeitpunkt nicht sagen

    wobei man sich mit so einer aussage weit ausm fenstet lehnt, da man nicht weiß wie du den parameter behandelst im weiteren script.
     
  4. 13. Juni 2010
    AW: MYSQL - Injections

    hmm das is weitaus komplexer als ich dachte ^^

    naja werds wohl noch lernen *gg*

    Kann dich leider nicht mehr bewerten
     
  5. 13. Juni 2010
    AW: MYSQL - Injections

    Find ich ja schon recht bemerkenswert das du dein Hauseigenes CMS anpreißt für komerzielle Zwecke verkaufst, und dich dann noch nichtmal mit der Sicherheit von PHP bzw. SQL-Injections auskennst.

    Damit du aber nicht ganz auf dem trockenen stehst kannste dir das hier durchlesen. Andernfalls empfehle ich dir Tutorials die die SQL-Injections auf Programmierebene behandeln, vielleicht ist es dann einfacher für dich zu verstehen wieso und warum.

    Weiterhin gibt es auch viele Tools die es mehr oder weniger bringen. Google hat da letztens was rausgebracht "Skipfish" soll wohl sehr gut sein oder sowas wie Acuetenix Web Applications Scanner.

    gruß

    x69
     
  6. 13. Juni 2010
    AW: MYSQL - Injections

    ^^ danke für den tipp ...

    ja du hast recht is etwas erschreckend, hab mich schon mit sicherheit befasst, aber etwas oberflächlich ...

    und jetzt muss ich meine schmlampigkeit nachholen, bevor ich das ding unter die leute bringe
     
  7. 13. Juni 2010
    AW: MYSQL - Injections

    Einsicht ist der erste Weg zur besserung .

    Wollte deinem CMS grade mal ein paar Tests unterziehen, aber wieso verwendet 80% deiner Referenzen plötzlich WebSpell?
     
  8. 13. Juni 2010
    AW: MYSQL - Injections



    mein cms is "noch nicht auf dem markt"
    ich habe früher nur webspell verwendet.

    aber hast eine PM mit dem link zum testserver
     
  9. 13. Juni 2010
    AW: MYSQL - Injections

    Auch solltest du dich nicht ausschließlich auf SQL-Injections fixieren, denn sehr viel häufiger sind Seiten für XSS anfällig. Das ist zwar nicht immer so gravierend wie bei SQLIs, aber trotzdem unsicher.

    Um's dir kurz zu erklären: Bei XSS-Attacken wird versucht Javascript-Code einzuschleusen, dass kann zum Beispiel bei Suchen möglich sein, die den gesuchten Term wieder ausgeben. Denn auf diese Weise kann man als Benutzer den Webseiteninhalt direkt beeinflussen und mit ein paar Tricks auch Code ausführen.

    Google gibt dirch noch massig Infos dazu und was du alles dagegen tun kannst
     
  10. 15. Juni 2010
    AW: MYSQL - Injections

    danke für den Hinweis!
    Das kann ich ja ganz einfach testen, indem ich
    Code:
    <script>alert(1337)</script>
    einfüge oder?

    so gesehen auf
    http://www.gelbeseiten.de/yp/search.yp?distance=0&subject="></script><script>alert(1337)</script>
    (J0hnx3r.org)
     
  11. 15. Juni 2010
    AW: MYSQL - Injections

    Fast, du musst im Grunde gucken, wo in der Seite der eingegebene Text auftaucht und dann die Tags vervollständigen. D.h. wenn eine Suchanfrage wieder in dem Textfeld für die Suche ausgegeben wird, sieht der HTML-Code ja ungefähr folgendermaßen aus:
    Code:
    <input name="search" type="text" size="30" value="Letzte Suchanfrage">
    Um jetzt Javascript-Code einzuschleusen, muss der Tag auch korrekt geschlossen werden. Bsp.:
    Code:
    "><script>alert(1337)</script><a href="
    Nach dem Einfügen siehts dann so aus:
    Code:
    <input name="search" type="text" size="30" value="[B]"><script>alert(1337)</script><a href="[/B]">
    Der letzte Tag macht jetzt zwar keine Sinn, aber was solls. Es geht ja nur darum, dass der Script-Tag funktioniert.
     
  12. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.