Ich habe einen Bug gefunden, der SQL-Injection ermöglicht und prinzipiell jegliches SQL-Kommando zulässt. Ich will es hier aus Sicherheitsgründen nicht vertiefen. Besser ist es, wenn mich ein interessierter Programmierer per PN anschreibt und andere Kollegen gleich mit ins Boot nimmt.
SQL-Injection möglich
-
- Info
- Wiimm
- Geschlossen
- Erledigt
Ich habe einen Blog Artikel verfasst - Wie benutze ich die Suche richtig - Bitte diesen beachten und auch umsetzen bevor Ihr ein Neues Thema eröffnet!
-
-
wer sucht wird fündig
wer nur tippt dem ist das egal
außerdem gibt es ja bald ein neues Script
-
Meine Kollegen lassen heute einen Pen Test auf die Seite los. Meine Frage - hat jemand ein einfaches Captcha im Einsatz damit man wenigstens Brute Force auf die Anmeldung verhindern kann?
Man soll ja immer ans Gute im Menschen glauben, aber bei so vielen Mitspielern kann es immer schwarze Schafe geben... (vorallem wenn so viel Nerds mitspielen )
-
wer nur tippt dem ist das egal
... dass ich in der Lage bin
* alle Tipps zu manipulieren
* sämtliche Datenbank-Tabellen zu löschen.
* mir Admin-Rechte zu verschaffen
Ist das deine Aussage?
EDIT:
Außerdem habe ich nicht gesucht. Das Log hat mit einen fatalen PHP-Fehler angezeigt, Und als ich mir die Code-Stelle angeschaut habe, ist mir genannte Sicherheitslücke direkt ins Auge gefallen.
-
es ist nur ein Tippspiel für ein paar Wochen
und du hast das selbe auch bei der EM gesagt
mein vor schlag schlisse es bei dir doch einfach
-
Allein die Tatsache, dass ich über Google etliche Seiten mit diesem Tippspiel-Script finde und mir über eine SQL-Injection Zugriff auf alle E-Mail Adressen der User verschaffen kann, sollte Grund genug sein den Fehler zu beheben.
Sorry aber da macht ihr es euch zu einfach, wenn ihr sagt interessiert sich doch eh niemand für ..
-
ich sage dazu das ist Paranoid das script gibt es chon jahre keiner hat sich darüber aufgeregt bis dieser selbst ernannte Sicherheit Experte
darauf aufmerksam machte
darum mein Tipp schließt es doch einfach
-
-
Habe Wiimm schon eine PN geschrieben, werde dann noch ein Update mit der Schließung der möglichen SQL-Injection veröffentlichen.
-
Wiimm Es ist wichtig darüber zu informieren und du hast genau den richtigen Weg gewählt. Danke dafür. Selbstverständlich werden wir Maßnahmen ergreifen und die Lücke schließen.
Es gibt bei so etwas auch eine Verantwortung anderen gegenüber. Das Tippspiel selbst wird keinen Schaden verursachen. Aber der Missbrauch von Servern kann unter Umständen auch über die Quelle hinaus schaden verursachen. Wenn man davon weiß, dann muss man handeln.
-
ich habe das schon zur EM gesagt und es hat keinen interessiert aber auf einmal schon
ok bin also raus
-
ich habe das schon zur EM gesagt und es hat keinen interessiert aber auf einmal schon
ok bin also raus
Kannst du mir bitte ne PM schicken, wo du die SQL Injection Schwachstelle gefunden hast? Dann muss ich nicht selbst suchen.
Vielen Dank
-
Sorry, aber deine Einstellung dazu ist absolut verständnis- und verantwortungslos!
Genau so Leute wie du sind es dann aber, die wenn was passiert und ihre Daten selbst missbraucht werden, am allermeisten rumschreien.
Selbstverständlich werden wir Maßnahmen ergreifen und die Lücke schließen.
Es gibt bei so etwas auch eine Verantwortung anderen gegenüber. Das Tippspiel selbst wird keinen Schaden verursachen. Aber der Missbrauch von Servern kann unter Umständen auch über die Quelle hinaus schaden verursachen. Wenn man davon weiß, dann muss man handeln. -
jetzt aber gut, kein Shitstorm!!!
-
-
Guerreiro84
Hat das Thema geschlossen -