am: 10. Januar 2011, 09:36:20
Mir ist gerade durch die whos_online ein merkwürdiger Zugriff aufgefallen:
Da hat sich jemand (aus der Ukreine) einen Nonsense-Account erstellt und im nächsten Schritt die URL
www.meinshop.de/admin/categories.php/login.php aufgerufen. Mein Adminbereich ist zusätzlich per htacces mit einem Passwort geschützt, so dass das Ergebnis ein 401-Error war. Die Sache kam mir jedoch sehr merkwürdig vor und so habe ich das ganze mal an meinem Testshop nachgestellt und das Ergebnis ist, dass ein normaler Kunde damit im Adminbereich folgende Fehlermeldung erhält:
1054 - Unknown column 'login' in 'field list'
select login from admin_access where customers_id = '4'
[XT SQL Error]
Wie kommt den ein Kunde ohne Adminrechte überhaupt so weit, dass ein SQL-Befehl erfolgt?
Eigentlich wird ein Kunde, der versucht in den Adminbereich zu gelangen doch auf die account.php geleitet.
Ich befürchte, dass hier eine Stelle ist, wo eine SQL-Manipulation möglich ist. Auf die Schnelle habe ich nicht gefunden, wie und wo es da überhaupt zu dem SQL-Aufruf kommt - habe momentan aber auch kaum Zeit.
Vielleicht hat jemand eine Idee was da genau passiert?
Linkback: https://www.modified-shop.org/forum/index.php?topic=10547.0