Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke? - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 15:11.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke?

      habs jetzt grad mal ausprobiert - eine sicherheitslücke ist es ja noch nicht, weil damit ja noch keiner das richtige passwort weiss und somit auch nicht rein kommt, oder hab ich da was übersehen?


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 13:44.
    !!!! Sicherheitslücke !!!!???

      Hallo,
      hab in meiner Nutzerverwaltung bischen "gespielt", und folgende bedenkliche Situation festgestellt:
      Wenn in der Abfrage:
      {if ($namerein ne "")
          {
          get "Name==!$namerein", "$db";
      als namerein in das Eingabeformular ein Leerzeichen eingegeben wird, holt get den ersten Datensatz und läßt ihn auslesen, obwohl oben explizit Name genau wie Namerein gefragt wird.
      
      Hab ich im Code was falsch oder ist das "normal"?
      Ruben

     Antworten

    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 13:51.
    URL zum Anschaun - !!!! Sicherheitslücke !!!!???

     Antworten

    Beitrag von Winkiller (175 Beiträge) am Freitag, 16.März.2001, 13:59. WWW: www.hpks.org
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???

      Ja, das ist eine sicherheistlücke, und wird so gestopft:

      1. Möglichkeit
      if ($namerein !~ /\W/)
      {
      get "Name==!$namerein", "$db";
      

      Dann kann der Name nur Alphanummerische Zeichen enthalten. Dazugehören a-z, A-Z, 0-9 und der Unterstrich "_".


      2. Möglichkeit
      if ($namerein ne "")
      {
      get "Name==!".convert_url($namerein), "$db";
      

      jetzt kann der Name alle zeichen enthlaten.

     Antworten

    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 14:09.
    Danke !!!- war URL zum Anschaun - !!!! Sicherheitslücke !!!!???

      Danke, Winkiller,
      Ich war vorhin grad mal erschrocken!
      Den Workaround bau ich morgen mal ein, heut ist erst mal Sabbat. (muß noch ne alte PC-Kiste in ein Netz einknoten - denk, da ist der Tag gelaufen -:)
      Ruben

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 14:40.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???

      Oops, was so alles passieren kann... Liegt an der Art wie das "get" dann die Abfrage untersucht und da sind Leerzeichen ja Trenner zwischen mehreren Bedingungen...

      Mir fällt noch eine Möglichkeit ein:

      3.

      if($namerein ne "")
      {
      get ["Name", "==!", $namerein], $db;
      

      Jetzt wird die Abfrage nicht "geparsed" und somit $namerein wirklich als das genommen, was es ist...

     Antworten

    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 21:26.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???

      Naja, das kann man sehen wie man will, aber wenn ich dann das Paßwort in ein hidden Feld im Formular einlese um damit was zu machen, dann.... (Quelltext anzeigen im Browser)
      Ist vielleicht n bischen übertrieben gewesen mein Aufschrei, aber naja, wenn das mehrere anschaun und sich Gedanken drüber machen wirds doch perfektioniert oder?
      Ist aber trotzdem unangenehm, wenn ein Nutzername angezeigt wird obwohl das eigentlich keinen was angeht.
      Aber ist ja geklärt und wieder haben wir alle was gelernt.... :) *fg*
      Mal sehn was und nächste Woche beschert wird (hoffe doch inständig, daß die jetzige Version so bleibt wie sie ist...)
      Ruben

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 22:11.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!???

      sagen wir mal so: es ist auf jeden fall ein wichtiger punkt, den ich z.b. noch garnicht kannte...

      aber autsch: passwörter in ein hidden-feld schreiben ist generell eine sehr, sehr schlechte idee!!!! und das du einem anmelder sagst, ob es den namen gibt oder nicht, ist auch "unüblich", aus gutem grund, weil ein potentieller angreifer dann eben zumind. schonmal registrierte nutzer rauskriegen kann, wozu auch immer das dann benutzen könnte... deshalb bekommt man normalerweise nur ein "anmeldung fehlgeschlagen"... nur so ;-)

      neue version: nein, die neue version wird die alte irgendwann ersetzen...

     Antworten

    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 22:38.
    Re: URL zum Anschaun - Sicherheit

      mhm, das ist natürlich wahr mit dem hidden-feld, war mir auch grad nur eingefallen zur eigenen Rechtfertigung *gg*
      Aber der Tip mit dem Bescheid, daß der Namen nicht vorhanden ist natürlich zu bedenken. Obwohl ich das auch schon bei kommerziellen Angeboten gesehen habe, daß zumindest die Meldung kam, daß man kein registrierter Nutzer sei.
      ok, ich werds mal überdenken - mein Gedankenansatz war, daß aus der "Falsch-Anmeldung" heraus gleich die Registrierung vorgenommen werden kann, aber richtig betrachtet ist das eigentlich nonsens.
      Egal, ich hab allerhand bei meinen vielfältigen Versuchen gelernt - und nicht zuletzt hier das Forum und die Beispiele der anderen User haben einiges rübergebracht.
      Im Bezug auf die neue Version steigt die Spannung immer mehr, erlöse uns doch bitte bald *fg* --- gemeinsam finden wir schon die Ecken und Kanten, die möglicherweise noch drin sind - hat doch bis jetzt geklappt oder?
      Ciau
      Ruben

     Antworten

    Beitrag von Ruben (403 Beiträge) am Freitag, 16.März.2001, 23:00.
    Es geht so wie du vorgeschlagen hast - Danke ! n.T.


     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Freitag, 16.März.2001, 15:11.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke?

      habs jetzt grad mal ausprobiert - eine sicherheitslücke ist es ja noch nicht, weil damit ja noch keiner das richtige passwort weiss und somit auch nicht rein kommt, oder hab ich da was übersehen?

     Antworten

    Beitrag von Winkiller (175 Beiträge) am Freitag, 16.März.2001, 16:03.
    Re: URL zum Anschaun - !!!! Sicherheitslücke !!!!??? - wirklich eine lücke?

      Auch wieder wahr

     Antworten

    Beitrag von Willecke Bernd (1 Beitrag) am Samstag, 17.März.2001, 18:16. WWW: benjymz.de
    Re: null Ahnung

      kann mir bitte mal jemand das forum einstellen zu meine´m Thema gegen Kindesmissbrauch und die politiker tun nichts man kann zwar was rein schreiben aber speichern und danach lesen geht nicht es sollte ja zu sehen sein wer was einträgt

     Antworten


     
 Liste der Einträge von 64200 bis 64350:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.13s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!