Kommentare zu: Ignorante WebSite-Betreiber http://meingottundmeinewelt.de/2009/01/23/ignorante-website-betreiber/ nichts für leute die aus ihren dogmen nicht ausbrechen können Sun, 05 Sep 2010 11:05:36 +0000 hourly 1 Von: mein gott und meine welt » Blog Archive » Datenleck bei Gruner + Jahr http://meingottundmeinewelt.de/2009/01/23/ignorante-website-betreiber/comment-page-1/#comment-486 mein gott und meine welt » Blog Archive » Datenleck bei Gruner + Jahr Thu, 05 Feb 2009 05:47:10 +0000 http://meingottundmeinewelt.de/?p=1719#comment-486 [...] drüber reden, erst gar nicht dran denken, dann geht’s schon vorbei… In “Ignorante WebSite-Betreiber” schrieb ich am 23. Januar darüber das ich in einem CMS eine Lücke gefunden habe, [...] [...] drüber reden, erst gar nicht dran denken, dann geht’s schon vorbei… In “Ignorante WebSite-Betreiber” schrieb ich am 23. Januar darüber das ich in einem CMS eine Lücke gefunden habe, [...]

]]> Von: ich http://meingottundmeinewelt.de/2009/01/23/ignorante-website-betreiber/comment-page-1/#comment-477 ich Fri, 23 Jan 2009 14:16:20 +0000 http://meingottundmeinewelt.de/?p=1719#comment-477 Nein nicht zwingend. (Man gut das hier keiner mitliest... Blödsinn gelöscht...) Eine DB-Query für die Abfrage nach Username und Password könnte auch bei verschlüsseltem Passwort ausgehebelt werden, wenn der Username nicht auf SQL-Injection gefiltert wird. Unsicher wäre: <code>SELECT user, pass FROM users WHERE user='$eingabe_user' AND pass='md5($eingabe_pass)'</code> Wenn nun für <code>$eingabe_user</code> "<code>' or 1=1 -- </code>" übertragen wird dann ergibt sich folgende DB-Query: <code>SELECT user, pass FROM users WHERE user='' or 1=1 -- ' AND pass='md5(123456)'</code> Die Kommentarzeichen (<code>--</code>) führen dazu das der Rest, also die Passwortabfrage, nicht ausgeführt wird. Ein Passwort muß man i.d.R. eingeben, da oft auf leere Eingaben geprüft wird. Mit dem Passwort 123456 oder password kommt man oft auch ohne eine SQL-Injection-Lücke in einen Account rein... Die beste Programmierung hilft natürlich nicht gegen den Unsicherheitsfaktor Nummer 1 - den User. Nein nicht zwingend.

(Man gut das hier keiner mitliest… Blödsinn gelöscht…)

Eine DB-Query für die Abfrage nach Username und Password könnte auch bei verschlüsseltem Passwort ausgehebelt werden, wenn der Username nicht auf SQL-Injection gefiltert wird.

Unsicher wäre:
SELECT user, pass FROM users
WHERE user='$eingabe_user' AND pass='md5($eingabe_pass)'

Wenn nun für $eingabe_user' or 1=1 -- ” übertragen wird dann ergibt sich folgende DB-Query:

SELECT user, pass FROM users
WHERE user='' or 1=1 -- ' AND pass='md5(123456)'

Die Kommentarzeichen (--) führen dazu das der Rest, also die Passwortabfrage, nicht ausgeführt wird. Ein Passwort muß man i.d.R. eingeben, da oft auf leere Eingaben geprüft wird.

Mit dem Passwort 123456 oder password kommt man oft auch ohne eine SQL-Injection-Lücke in einen Account rein… Die beste Programmierung hilft natürlich nicht gegen den Unsicherheitsfaktor Nummer 1 – den User.

]]> Von: cortex http://meingottundmeinewelt.de/2009/01/23/ignorante-website-betreiber/comment-page-1/#comment-476 cortex Fri, 23 Jan 2009 13:42:00 +0000 http://meingottundmeinewelt.de/?p=1719#comment-476 quer gefragt: heisst das nicht im selben atemzug, dass die login-daten im klartext in der datenbank landen ? cx quer gefragt: heisst das nicht im selben atemzug, dass die login-daten im klartext in der datenbank landen ?

cx

]]>