sqlinjection

[trixta]

hi,

habe auf 2 seiten im errorlog sql-syntax-fehler drinn, die auf ne sqlinjection hindeuten. beide stammen wohl von einem unsicheren suchmodul.

habe nun das suchwort mit mysql_real_escape_string behandelt, was hoffentlich reichen dürfte?

daneben habe ich noch am anfang der front_content (direkt nach den einzelnen includes) noch emergence code aus http://contenido.org/forum/viewtopic.ph ... tion#81712 eingefügt.

da ich noch steses modrewrite einsetze - allerdings für die 4.4.5 - habe ich seinen code ebenfalls am anfang der front_content geändert:

Code: Alles auswählen

if (isset ($catnames) && !empty ($catnames) && count($catnames) > 0 && !isset ($idcat)) {
	foreach ($catnames as $in => $catval) {     
      if (!is_numeric($catval)) {
       	$catnames[$in] = mysql_real_escape_string($catval);
   		}
    }
	$idcat = mr_get_idcat($catnames);
}

if (isset ($artname) && !empty ($artname) && !isset ($idart)) {
	if (!is_numeric($artname)) {
    	$artname = mysql_real_escape_string($artname);
   	}
	$idart = mr_get_idart($artname, $idcat);
}

if (isset ($langname) && !empty ($langname) && !isset ($lang)) {
	if (!is_numeric($langname)) {
    	$langname = mysql_real_escape_string($langname);
   	}
	$lang = mr_get_language_id($langname);
}
// end edit stese

dies sorgt allerdings auf einigen servern (1und1, nicht jedoch z.b. domainfactory) für warnmeldungen:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)

nehme an, dass dies daran liegt, dass zuvor noch keine mysql verbindung aufgebaut wurde (allerdings wäre ja gerade die erste verbindung sicherheitskritisch) und bei domainfactory diese warnmeldung einfach unterdrückt wird. ein voranstellen von $db = new DB_Contenido; bringt leider auch nichts.

meine frage(n) hierzu:
wie kann ich das ohne fehlermeldung sicher machen? wird bei servern, wo keine warnung erscheint, mysql_real_escape_string durchgeführt oder ist einfach die warnung unterdrückt?

ausserdem nutze ich noch nen newslettermodul - glaube das von herrb - hier wird email und name mit urlencode und strtolower bearbeitet (dies dürfte eine sqlinjection ebenfalls unmöglich machen, oder???)

schlussendlich, was haltet ihr davon unter tipps & tricks eventuell einen beitrag mit ner liste mit maßnahmen zu schreiben, welche helfen soll erstmal contenido abzusichern sowie eventuell einen weiteren beitrag, mit hinweisen zum halbwegs sicheren schreiben von modulen?

[Halchteranerin]

schlussendlich, was haltet ihr davon unter tipps & tricks eventuell einen beitrag mit ner liste mit maßnahmen zu schreiben, welche helfen soll erstmal contenido abzusichern sowie eventuell einen weiteren beitrag, mit hinweisen zum halbwegs sicheren schreiben von modulen?

Es spricht nichts dagegen, nur zu!

[HerrB]

Halt schreiben, wir verlegen es nach Tips & Tricks.

Zu den Fehlermeldungen: mysql_real_escape_string benötigt eine mySQL-Link-ID. Die dürfte er aber vermutlich nicht finden.

Wenn ein $db verfügbar wäre, könntest Du

Code: Alles auswählen

$catnames[$in] = mysql_real_escape_string($catval, $db->Link_ID);

versuchen. Allerdings wird es das $db nicht geben, da die eigentliche DB-Verbindung von der jeweiligen mr_-Funktion/Methode ausgeführt wird. Eigentlich müsste das mysql_real_escape usw. in die mr_-Funktion eingebaut werden.

Gruß
HerrB

[Dinkel]

Ich finde es echt super, wenn jemand eine Sicherheitslücke macht, aber bitte nicht den gleichen Fehler machen wie die Joomla!-Entwickler, die jede Lücke genau auf der Website beschreiben und "alte" Systeme leichter kompromittiert werden können. Kann man nicht einen Bereich erstellen, in den jeder etwas schreiben kann (also nur Sicherheitslücken o.ä.), der aber nur von den Mods gelesen werden darf? Publik gemachte Sicherheitslücken sind eine Einladung für Hacker und Cracker

Sagt bitte mal Eure Meinung dazu oder reißt mich jetzt einfach in Fetzen

[kummer]

Zu den Fehlermeldungen: mysql_real_escape_string benötigt eine mySQL-Link-ID. Die dürfte er aber vermutlich nicht finden.

die link-id ist optional. ich lasse die in der regel weg. das dürfte eigentlich nicht zu einem fehler führen.

[kummer]

Ich finde es echt super, wenn jemand eine Sicherheitslücke macht, aber bitte nicht den gleichen Fehler machen wie die Joomla!-Entwickler, die jede Lücke genau auf der Website beschreiben und "alte" Systeme leichter kompromittiert werden können. Kann man nicht einen Bereich erstellen, in den jeder etwas schreiben kann (also nur Sicherheitslücken o.ä.), der aber nur von den Mods gelesen werden darf? Publik gemachte Sicherheitslücken sind eine Einladung für Hacker und Cracker

da kann man nun geteilter meinung sein. die anwender sind in einem begrenzten rahmen auch immer entwickler. mindestens gilt das für die eigene site. ohne zu wissen, wo probleme liegen, sind die anwender ausserstande, das problem anzugehen. will heissen, eine publikation ist günstig. klar ist es auch ein problem, wenn alle welt weiss, wie man contenido hacken kann. aber dagegen hilft kein verstecken, sodern nur das lösen des problems.

[trixta]

@dinkel
dem stimme ich - ähnlich wie kummer - nicht zu. ich will von sicherheitslücken erfahren und wissen wie ich sie schließen kann und nicht allein darauf vertrauen, dass die sicherheitslücke halbwegs unbekannt ist.

i.ü. es gibt genug webseiten da draussen die bis heute die sicherheitsupdates für die versionen unter 4.64 nicht eingepflegt haben.

hier kam übrigens zuerst der exploit und danach erst das bugfix (eine heimlichtuerei wäre also eher kontraproduktiv gewesen).
die schwachstelle(n) wurde benannt, der genaue hackingweg wurde dagegen, sofern er hier mal gepostet wurde, von den admins gelöscht. = guter mittelweg

[trixta]

@kummer

heisst das, dass ich bei dem oben geposteten code davon ausgehen kann, dass bei webseiten, bei denen die warnung nicht angezeigt wird mysql_real_escape_string korrekt ausgeführt wird (wie kann ich das im zweifelsfall überpürfen) und nur bei 1und1 aufgrund seltsamer servereinstellungen zuvor eine connection hergestellt bzw. der 2. para angegeben werden muss?

[HerrB]

die link-id ist optional. ich lasse die in der regel weg. das dürfte eigentlich nicht zu einem fehler führen.

Jein.

If the link identifier is not specified, the last link opened by mysql_connect() is assumed. If no such link is found, it will try to create one as if mysql_connect() was called with no arguments. If by chance no connection is found or established, an E_WARNING level warning is generated.

Und wir haben hier:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock'

Ich gebe ja zu, dass ich es ja irgendeine DB-Verbindung schon gegeben haben dürfte - warum es die Meldung gibt, weiß ich daher auch nicht (und kenne mich nicht aus... ).

Gruß
HerrB

[kummer]

ich gebe mich geschlagen... allerdings bleibt das problem dasselbe. man kann die link-id ohne probleme weglassen. wenn eine verbindung bestehen würde, dann würde keine warnung ausgegeben. wenn aber keine verbindung besteht, kann ich auch unmöglich eine id mitgeben.

ich denke, das ist nur von bedeutung, wenn man gleichzeitig mit mehr als einer db arbeiten würde. das ist ja bei contenido - mindestens im regelfall - nicht der fall.

es ist im übrigen durchaus nicht so, dass mysql_real_escape_string es grundsätzlich vollkommen unmöglich machen würde, eine injection vorzunehmen. es wird zwar nirgends darauf hingewiesen, wie man das trotzdem anstellen könnte; aber man muss davon ausgehen, dass findige köpfe einen weg finden werden. aber bestimmt ist es wesentlich schwieriger.

@trixta: eine verbindung mit mysql muss in jedem fall bestehen. das ist keine sonderbare regel deines providers. der aufruf von mysql_real_escape_string erfordert eine bestehende datenbankverbindung. aber ohne die, wäre die anwendung der funktion auch völlig nutzlos, nicht?