Sicherheitslücken finden (?)

[MrSm!th]

Quote:

Originally Posted by nkkk

hab mir den code mal angesehen und konnte keinen fehler finden, bin aber eig auch kein php programmierer.

die antisqlinjection besteht ja daraus alle ' zu entfernen, ich denke aber das reicht, da mssql nur ' als escapezeichen benutzt.

ich hab mal versucht so auf die db zuzugreifen, ist mir aber nicht gelungen, ist aber auch nicht mein spezialgebiet.

Nein, das reicht nicht.

[nkkk]

Quote:

Originally Posted by MrSm!th

Nein, das reicht nicht.

wieso sollte das nicht reichen?

nenn mit mal eine möglcihkeit code wie z.b.

Code:

"SELECT a From b WHERE c ='" +variable +"'";

zu injecten.

[kissein]

Quote:

Originally Posted by nkkk

wieso sollte das nicht reichen?

Überspitzt gesagt, wurde bisher nur das Gartentor geprüft ob es korrekt schliesst. Das Haus aber hat noch Türen/Fenster/Dach/Keller/...

Sicherheitsanalysen kosten Zeit weil bis ins Detail getestet werden muss.

[nkkk]

Quote:

Originally Posted by kissein

Überspitzt gesagt, wurde bisher nur das Gartentor geprüft ob es korrekt schliesst. Das Haus aber hat noch Türen/Fenster/Dach/Keller/...

Sicherheitsanalysen kosten Zeit weil bis ins Detail getestet werden muss.

ja das ist mir klar, aber mein "ich denke das reicht" bezog sich auch nur auf das gartentor.

[Tyrar]

Quote:

Originally Posted by nkkk

wieso sollte das nicht reichen?

nenn mit mal eine möglcihkeit code wie z.b.

Code:

"SELECT a From b WHERE c ='" +variable +"'";

zu injecten.

wie schauts mit integer werten aus?

Code:

"SELECT a FROM b WHERE c = " + $_GET["id"];

wenn man 'a' irgendwo auf der seite ausgibt, wäre es einfach mit diesem query an z.b. user namen zu kommen!

Code:

test.php?id=0 UNION SELECT username FROM accounts WHERE id = 1

so in etwa, was ich jedenfalls sagen wollte, ein query wird nicht zwingend mit ' geschrieben!

[nkkk]

Quote:

Originally Posted by HeavyHacker

wie schauts mit integer werten aus?

Code:

"SELECT a FROM b WHERE c = " + $_GET["id"];

wenn man 'a' irgendwo auf der seite ausgibt, wäre es einfach mit diesem query an z.b. user namen zu kommen!

Code:

test.php?id=0 UNION SELECT username FROM accounts WHERE id = 1

so in etwa, was ich jedenfalls sagen wollte, ein query wird nicht zwingend mit ' geschrieben!

hmm k da hast du wohl recht.
aber auch intergerwerte kann man in ' schreiben (auch wenn mein ein früherer lehrer mal gesagt hat das man dass nicht soll, ka warum, funzt sowohl bei mssql als auch mysql auch mit hochkomma soweit ich weiss)

[MrSm!th]

Es gibt Möglichkeiten, das bloße Entfernen von Quotes sogar für Sqli auszunutzen. Und Escapezeichen die Quotes in der Funktionsweise ersetzen gibt es genug.

Es ist immer schlauer, eine Whitelist mit erlaubten Zeichen zu führen als eine Blacklist mit verbotenen.

[nkkk]

Quote:

Originally Posted by MrSm!th

Es gibt Möglichkeiten, das bloße Entfernen von Quotes sogar für Sqli auszunutzen.

das kann evtl passieren wenn man mehere komplizierte sql escape funktionen benutzt die sich seitig aushebeln, in diesem einfachen fall sicherlich nicht.

Quote:

Es ist immer schlauer, eine Whitelist mit erlaubten Zeichen zu führen als eine Blacklist mit verbotenen.

das stimmt wohl.

Quote:

Und Escapezeichen die Quotes in der Funktionsweise ersetzen gibt es genug.

nenn mir nur eins.

[Tyrar]

Quote:

Originally Posted by nkkk

hmm k da hast du wohl recht.
aber auch intergerwerte kann man in ' schreiben (auch wenn mein ein früherer lehrer mal gesagt hat das man dass nicht soll, ka warum, funzt sowohl bei mssql als auch mysql auch mit hochkomma soweit ich weiss)

*vorsicht halbwissen, erfahrenere user bitte korrigieren*
integer werte werden in dem fall aus der db in einen string konvertiert und dann als string abgeglichen, was sich bei massig anfragen auf die performance auswirkt!