Heute bekam ich per E-Mail die Aufforderung an eine Umfrage teil zu nehmen. Als Dankeschön lockt ein vergünstigtes Test-Abo und ein Geschenk. Am Ende der Umfrage wird man aufgefordert u.a. seine Postanschrift und seine Bankverbindung anzugeben, damit das Test-Abo verschickt und abgerechnet werden kann.

In der URL der Umfrage werden verschiedene Parameter von Frage zu Frage mit übertragen. Wenn ich solche URLs sehe… da muss ich einfach dran rumfingern. ;O)

Wenn man einen Parameter löscht so bekommt man eine schöne Fehlermeldung aus der Datenbank, das da in der Tabelle-XY in Spalte-Z etwas nicht existiert. Solche Fehlermeldungen laden natürlich geradezu dazu ein noch mehr Informationen per SQL-Injection (de.wikipedia.org) aus der Datenbank auszulesen. Evtl. ist es sogar möglich auf die persönlichen Daten zuzugreifen, die der Teilnehmer am Ende der Umfrage eingegeben hat.

Um an die persönlichen Daten zu kommen kann man aber auch Session Fixation (de.wikipedia.org) benutzen.

Ein Angreifer kann recht einfach Links verteilen in denen er für das Test-Abo wirbt und auf das tolle Geschenk hinweist. In dem Link gibt er bereits eine Session-ID vor, mit deren Hilfe er später die Daten der Opfer abfragt. Das Umfrage-Script ist so nett und läßt beliebige Session-IDs zu, d.h. der Angreifer speichert sich die von seinem Script generierten und bereits benutzen IDs ab, um später die persönlichen Daten der Opfer auszulesen.

Beim Erich ist das Thema “Session-Angriffe – eine Analyse an PHP” (erich-kachel.de) auch schön beschrieben.

Es handelt sich hier mal wieder um einen großen bekannten Verlag, mit mehr als 50 Zeitschriften und Zeitungen, also kein kleiner der Branche.