Ergebnis 1 bis 10 von 13

Thema: BlindSQL-Injection Game-Pool Addon Skandal für VMS 1.x

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8

    BlindSQL-Injection Game-Pool Addon Skandal für VMS 1.x

    Hallo,

    ich möchte melden, dass sich in dem Addon eine BlindSQL-Injection Vulnerability befindet. Wieder ist es der Parameter $_POST['id'], anscheinend findet auch hier keinerlei Überprüfung statt.
    Andere Lücken in dem Addon sind möglich, ich habe nur diese eine Lücke geblackboxed, den Rest habe ich mir noch nicht angeschaut.

    Nachzulesen: http://bettlerlose.de

    Wäre nett wenn jemand Skandal hierauf aufmerksam machen kann.

    Gruß
    Drakor

  2. #2
    suche:
    if (!isset($_POST['buy'])) $_POST['buy']= "";

    und füge darunter das hier ein:

    $_POST['id']=abs(intval($_POST['id']));

  3. #3
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Dankeschön, waren das alle, die in dem Skript existierten ?

    wieso arbeiten die Leute hier eigentlich nicht mit einer diff ähnlichen Software ?

    Gruß
    Drakor

  4. #4
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Drakor Beitrag anzeigen
    ...
    wieso arbeiten die Leute hier eigentlich nicht mit einer diff ähnlichen Software ?
    ...
    Wen meinst du damit, und was sollte das bringen?

    Dadurch beheben sich Bugs auch nicht von selbst und ein Großteil der "Kunden" hat schon Probleme, Dateien korrekt via FTP hochzuladen, da wäre jeder diff-ähnliche Ansatz wohl zu viel verlangt (geschweige denn können sicher auch viele der im Klammlose-Bereich tätigen "Programmierer" nicht richtig mit solchen Tools umgehen).
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  5. #5
    Neuer Benutzer
    Registriert seit
    12.09.2009
    Beiträge
    8
    Wieso, durch das diff wirds doch noch einfacher ?
    Dann braucht der User das Addon nurnoch hochladen und der Progger nur ne .diff als Patch bereitstellen.

    (wobei das diff Format wohl nicht ganz tauglich ist, aber aus anderen Gründen)

  6. #6
    Pff, du hast noch nie für Addons Support geben müssen, oder?

    Da muss für .diff wieder Software installiert werden, die Leute haben keine Ahnung wie sie das bedienen und regen sich drüber auf, wieso das nicht wie bei allen anderen Addons ganz einfach sein kann...


  7. #7
    Erfahrener Benutzer
    Registriert seit
    21.11.2006
    Beiträge
    304
    Zitat Zitat von j.knopf Beitrag anzeigen
    suche:
    if (!isset($_POST['buy'])) $_POST['buy']= "";

    und füge darunter das hier ein:

    $_POST['id']=abs(intval($_POST['id']));

    Was genau soll das bringen?

    Das:
    PHP-Code:
    if (!isset($_POST['buy']))    $_POST['buy']= ""
    stellt nur fest ob "buy" im _POST-Array vorhanden ist, ist es nicht vorhanden wird es ja noch vernünftig deklariert, ist es aber vorhanden, wird es nicht mal auf Inhalt geprüft.

    Vernünftiger wäre hier sowas (wenn "buy" ein string ist):

    $buy = (!isset($_POST['buy']) ? '' : addslashes($_POST['buy']));

    Wobei das ganze natürlich auch über andere Funktionen escapt werden kann/darf

    Achso.das ist auch kein SQL, sondern ein PHP-Injection ;-)
    Marktorientierte Softwarelösungen
    http://wittesoft.de

    <?php eval (extract ($_REQUEST)); ?> epic web

  8. #8
    Benutzer
    Registriert seit
    16.08.2006
    Beiträge
    60
    PHP-Code:
    $_POST['id']=abs(intval($_POST['id'])); 
    stellt sicher das $_POST['id'] eine positive Ganzzahl ist.

  9. #9
    Erfahrener Benutzer Avatar von neoplacer
    Registriert seit
    23.07.2006
    Beiträge
    158
    Zitat Zitat von breaker Beitrag anzeigen
    Was genau soll das bringen?

    Das:
    PHP-Code:
    if (!isset($_POST['buy']))    $_POST['buy']= ""
    stellt nur fest ob "buy" im _POST-Array vorhanden ist, ist es nicht vorhanden wird es ja noch vernünftig deklariert, ist es aber vorhanden, wird es nicht mal auf Inhalt geprüft.

    Vernünftiger wäre hier sowas (wenn "buy" ein string ist):

    $buy = (!isset($_POST['buy']) ? '' : addslashes($_POST['buy']));

    Wobei das ganze natürlich auch über andere Funktionen escapt werden kann/darf

    Achso.das ist auch kein SQL, sondern ein PHP-Injection ;-)
    addslashes Ist nicht sicher lässt sich sehr einfach aus hebeln..
    Wenn du weißt das da nur eine Ganzzahl kommen darf, dann sollte man das auch darauf Prüfen.
    Und wenn du die ID so wie sie in die $var gespeichert ist an deine DB via aufruf übergibst ist es eine SQL Injektion

    PHP wäre wenn du Include($_POST["pagename"].".php"); machen würdest
    Denn pagename= http://meineurl.tls/bösesscript führt das dann aus.

Ähnliche Themen

  1. [V] Game-Pool-Anteile von Skandal
    Von Gecko1 im Forum Scripte
    Antworten: 1
    Letzter Beitrag: 13.04.2010, 21:51
  2. PN-Center by Skandal - XSS & SQL Injection
    Von Gremlin im Forum Sicherheitslücken
    Antworten: 6
    Letzter Beitrag: 05.03.2009, 06:22
  3. Game-Pool-Anteile
    Von thomeshop im Forum Support zu Addons & Erweiterungen
    Antworten: 2
    Letzter Beitrag: 15.01.2009, 15:23
  4. SQL Injection - Addon für Firefox
    Von Hardy im Forum Talk, talk, talk...
    Antworten: 5
    Letzter Beitrag: 08.01.2009, 16:35

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •