[TYPO3-UG Dutch] sqlinjection
Bas
bas at kompasmedia.nl
Wed Oct 12 19:39:28 CEST 2011
On 10/12/2011 05:21 PM, W.S.M. Perquin [YniVerse] wrote:
> Vraag:
>
> Met het programma havij kan je leuk hacks naspelen (vandaag geleerd).
>
> Typo3 overleeft het ruimschoots, alleen heb ik een extensie gemaakt, waarbij
> hij wel de database name (Current DB) weet te achterhalen.
>
> Iemand enig idee hoe dat ding dat doet? Cq hoe ik dat ook kan blokken?
>
>
>
> W-P
>
>
>
> _______________________________________________
> TYPO3-UG-Dutch mailing list
> TYPO3-UG-Dutch at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-dutch
Als een SELECT mogelijk is op de systeemdatabase 'mysql', dan is in het
ergste geval zowat de hele configuratie van je MySQL-instantie te
achterhalen. Namens de TYPO3-user een 'SHOW DATABASES' kunnen doen, is
genoeg om met enig vertrouwen je TYPO3-db te achterhalen. Meestal is dat
nl. de enige waar die user toegang toe heeft. Dan heb je dus toch ergens
een gat.. Je kunt dat wellicht detecteren door logging in MySQL extreem
hoog te zetten (liefst op een testsysteem), het programma dan nog eens
te draaien en zodoende te achterhalen wat er precies voor query's doorkomen.
Groeten,
Bas
More information about the TYPO3-UG-Dutch
mailing list