Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 13:44.
!!!! Sicherheitslücke !!!!???
Hallo,
hab in meiner Nutzerverwaltung bischen "gespielt", und folgende bedenkliche Situation festgestellt:
Wenn in der Abfrage:
{if ($namerein ne "")
{
get "Name==!$namerein", "$db";
als namerein in das Eingabeformular ein Leerzeichen eingegeben wird, holt get den ersten Datensatz und läßt ihn auslesen, obwohl oben explizit Name genau wie Namerein gefragt wird.
Ruben
Antworten
Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 13:51.
URL zum Anschaun - !!!! Sicherheitslücke !!!!???
Antworten
Beitrag von Winkiller (175 Beiträge) am Freitag, 16.März.2001, 13:59. WWW: www.hpks.org
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???
Ja, das ist eine sicherheistlücke, und wird so gestopft:
1. Möglichkeit
if ($namerein !~ /\W/)
{
get "Name==!$namerein", "$db";
Dann kann der Name nur Alphanummerische Zeichen enthalten. Dazugehören a-z, A-Z, 0-9 und der Unterstrich "_".
2. Möglichkeit
if ($namerein ne "")
{
get "Name==!".convert_url($namerein), "$db";
jetzt kann der Name alle zeichen enthlaten.
Antworten
Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 14:09.
Danke !!!- war URL zum Anschaun - !!!! Sicherheitslücke !!!!???
Danke, Winkiller,
Ich war vorhin grad mal erschrocken!
Den Workaround bau ich morgen mal ein, heut ist erst mal Sabbat. (muß noch ne alte PC-Kiste in ein Netz einknoten - denk, da ist der Tag gelaufen -:)
Ruben
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 14:40.
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???
Antworten
Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 21:26.
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???
Naja, das kann man sehen wie man will, aber wenn ich dann das Paßwort in ein hidden Feld im Formular einlese um damit was zu machen, dann.... (Quelltext anzeigen im Browser)
Ist vielleicht n bischen übertrieben gewesen mein Aufschrei, aber naja, wenn das mehrere anschaun und sich Gedanken drüber machen wirds doch perfektioniert oder?
Ist aber trotzdem unangenehm, wenn ein Nutzername angezeigt wird obwohl das eigentlich keinen was angeht.
Aber ist ja geklärt und wieder haben wir alle was gelernt.... :) *fg*
Mal sehn was und nächste Woche beschert wird (hoffe doch inständig, daß die jetzige Version so bleibt wie sie ist...)
Ruben
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 22:11.
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???
sagen wir mal so: es ist auf jeden fall ein wichtiger punkt, den ich z.b. noch garnicht kannte...
aber autsch: passwörter in ein hidden-feld schreiben ist generell eine sehr, sehr schlechte idee!!!! und das du einem anmelder sagst, ob es den namen gibt oder nicht, ist auch "unüblich", aus gutem grund, weil ein potentieller angreifer dann eben zumind. schonmal registrierte nutzer rauskriegen kann, wozu auch immer das dann benutzen könnte... deshalb bekommt man normalerweise nur ein "anmeldung fehlgeschlagen"... nur so ;-)
neue version: nein, die neue version wird die alte irgendwann ersetzen...
Antworten
Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 22:38.
Re: URL zum Anschaun - Sicherheit
mhm, das ist natürlich wahr mit dem hidden-feld, war mir auch grad nur eingefallen zur eigenen Rechtfertigung *gg*
Aber der Tip mit dem Bescheid, daß der Namen nicht vorhanden ist natürlich zu bedenken. Obwohl ich das auch schon bei kommerziellen Angeboten gesehen habe, daß zumindest die Meldung kam, daß man kein registrierter Nutzer sei.
ok, ich werds mal überdenken - mein Gedankenansatz war, daß aus der "Falsch-Anmeldung" heraus gleich die Registrierung vorgenommen werden kann, aber richtig betrachtet ist das eigentlich nonsens.
Egal, ich hab allerhand bei meinen vielfältigen Versuchen gelernt - und nicht zuletzt hier das Forum und die Beispiele der anderen User haben einiges rübergebracht.
Im Bezug auf die neue Version steigt die Spannung immer mehr, erlöse uns doch bitte bald *fg* --- gemeinsam finden wir schon die Ecken und Kanten, die möglicherweise noch drin sind - hat doch bis jetzt geklappt oder?
Ciau
Ruben
Antworten
Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 23:00.
Es geht so wie du vorgeschlagen hast - Danke ! n.T.
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 15:11.
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke?
habs jetzt grad mal ausprobiert - eine sicherheitslücke ist es ja noch nicht, weil damit ja noch keiner das richtige passwort weiss und somit auch nicht rein kommt, oder hab ich da was übersehen?
Antworten
Beitrag von Winkiller (175 Beiträge) am Freitag, 16.März.2001, 16:03.
Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke?
Antworten
Beitrag von Willecke Bernd (1 Beitrag) am Samstag, 17.März.2001, 18:16. WWW: benjymz.de
Re: null Ahnung
kann mir bitte mal jemand das forum einstellen zu meine´m Thema gegen Kindesmissbrauch und die politiker tun nichts man kann zwar was rein schreiben aber speichern und danach lesen geht nicht es sollte ja zu sehen sein wer was einträgt
Antworten
