[TYPO3-UG Dutch] sqlinjection
Sebastiaan de Jonge
typo3 at sebastiaandejonge.com
Wed Oct 12 19:13:39 CEST 2011
Hi,
Veiligheidslekken zou je inderdaad zo snel mogelijk op moeten lossen,
maar ik denk dat je in dit geval meer aan het spelen bent met SQL
injecties (wat best leuk kan zijn).
Op het moment dat je een niet blinde SQL injectie hebt kan je
bijvoorbeeld via UNION SELECT extra data weergeven. Al hangt de syntax
dan wel een beetje van het database systeem af. Tevens zal je het
aantal kolommen moeten gaan gokken, of de tabel. Je krijgt dan
bijvoorbeeld requests als:
...&tx_myext[someVar]=1 AND 1=2 UNION SELECT 1,2,3,4,5,6
Hier gaan we er dan uit dat in de originele query 6 kolommen van een
willekeurige tabel worden opgehaald. Er zou dan op je scherm waar
normaal de content komt te staan, de nummers 1 t/m 6 komen. Door dan
bijvoorbeeld bij MySQL een van de nummers met DATABASE() te vervangen
kom je achter de database naam. Dus bv.:
...&tx_myext[someVar]=1 AND 1=2 UNION SELECT 1,2,3,4,5,DATABASE()
Die Havij gaat waarschijnlijk proberen de output van de pagina te
beinvloeden door dit soort requests. SQL injectie (en dingen als
cross-site scripting) kan je voorkomen door ALLE user input te
filteren voordat deze wordt weergegeven op een pagina of opgeslagen in
een database. Denk dan bijvoorbeeld aan PHP functies als
mysql_real_escape_string, intval en htmlspecialchars.
Volgens mij is dit ook wel een goede plek om te beginnen:
http://typo3.org/teams/security/resources/
@Koen: Zou gemakkelijk vals alarm kunnen zijn, virusscanners blokkeren
volgens mij in 99% van de gevallen dit soort applicaties. Wil niet
zeggen dat het niet zo zou zijn :-)
Groeten,
Sebastiaan
2011/10/12 Koen Tilley <koen.tilley at semaforce.eu>:
> Mijn McAfee detecteert een Trojan als ik de gratis versie van Havij wil
> installeren ...
>
> Koen
>
> On 12/10/2011 17:21, W.S.M. Perquin [YniVerse] wrote:
>>
>> Vraag:
>>
>> Met het programma havij kan je leuk hacks naspelen (vandaag geleerd).
>>
>> Typo3 overleeft het ruimschoots, alleen heb ik een extensie gemaakt,
>> waarbij
>> hij wel de database name (Current DB) weet te achterhalen.
>>
>> Iemand enig idee hoe dat ding dat doet? Cq hoe ik dat ook kan blokken?
>>
>>
>>
>> W-P
>>
>>
>>
>> _______________________________________________
>> TYPO3-UG-Dutch mailing list
>> TYPO3-UG-Dutch at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-dutch
>
>
> --
> ____________________________________________
> Koen Tilley
> /Managing Director/
> *Semaforce bvba*
> Hof ter Mullen 44
> B-1700 DILBEEK
> Belgium
> Tel. +32-2-568.16.10
> GSM: +32-475-60.44.27
> Fax: +32-2-568.16.15
> E-mail: k.tilley at semaforce.be
> Web: http://www.semaforce.be/
>
> _______________________________________________
> TYPO3-UG-Dutch mailing list
> TYPO3-UG-Dutch at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-dutch
>
--
Kind regards,
Sebastiaan de Jonge
Freelance TYPO3/PHP developer/consultant
w: http://sebastiaandejonge.com | e: office at sebastiaandejonge.com |
skype: sabsebsop
More information about the TYPO3-UG-Dutch
mailing list