SQL-Injection Schwachstelle in Fremd-Modul "User Tracking"

[zub]

Hallo an alle,
habe gerade eine Mail von einem Besucher erhalten, mit folgendem Wortlaut:

ich hatte vorhin etwas im Webshop bestellt und die Angewohnheit, Shops bei denen ich bestelle auf grundlegende Sicherheitslücken zu testen und bin sofort auf eine mögliche SQL-Injection Schwachstelle (http://de.wikipedia.org/wiki/SQL_Injection) des Shopsystems gestoßen.
Der Fehler lässt sich sehr leicht reproduzieren, indem man in eine beliebige Stelle des Pfades einen einfachen Anführungsstrich einfügt '

Beispiel:

http://www.meineDomaine.de/Note'books/38-1-42-9-cm-15-16Zoll-40-64/Not-DELL-Vostro-3500-Silver-i5-460M-4096MB-500GB-40-cm-15-6Z::2700.html

Ich habe das mal getestet um FireFox nichts im IE9 kommt folgende Fehlermeldung:

Code: PHP  [Auswählen]

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'books/38-1-42-9-cm-15-16Zoll-40-64/Not-DELL-Vostro-3500-Silver-i5-460M-4096MB-50' at line 1

insert into user_tracking (customer_id, full_name, session_id, ip_address, time_entry, time_last_click, last_page_url, page_desc, referer_url) values ('0', 'Guest', '8e8070fac8f3b4f0734d3216f9ec191f', '84.182.132.96', '1306175224', '1306175224', '/Note'books/38-1-42-9-cm-15-16Zoll-40-64/Not-DELL-Vostro-3500-Silver-i5-460M-4096MB-500GB-40-cm-15-6Z::2700.html', 'test', ' -- ')

Habe ich was verpasst oder ist das was neues?

Bitte kann mir jemand einen Tipp geben?

Danke
Gruß
Waldemar



Linkback: https://www.modified-shop.org/forum/index.php?topic=13114.0

[zub]

Hallo,
habe jetzt herausgefunden von Welchem Modul das kommt.
Das ist dieses Modul: User Tracking für xtC v3.04 SP1 – SP2.1

Nur ist mein Wissen nicht so, dass ich weiß, wo das Problem liegt, habe erst einmal das ganze Modul rausgenommen.

Kann mir bitte jemand sagen, was geändert werden müsste, damit das Modul wieder sauber arbeitet.

Gruß
Waldemar

[DokuMan]

Der Fehler liegt in der "user_tracking.php"

Code: PHP  [Auswählen]

$wo_last_page_url = getenv('REQUEST_URI');

Mach daraus folgendes:

Code: PHP  [Auswählen]

$wo_last_page_url = xtc_db_input(getenv('REQUEST_URI'));

Wichtig ist das "xtc_db_input()", damit die Parameter gesäubert werden.
Das fehlt auch bei "$wo_referer_url" und "$wo_full_name".
Näheres kannst du von der "xtc_update_whos_online.inc.php" rausnehmen, weil das Modul größtenteils daraus erstellt wurde.

[Supimajo]

Danke für den Hinweis. Ich benutze das Modul auch.

[Tomcraft]

Vielleicht seid ihr so lieb und macht das Modul mal "dicht" und stellt es hier im Forum in einem neuen Thema nochmal zum Download bereit.

Grüße

Torsten

[Supimajo]

Oh ja, bitte. Dann kann ich das ins Wiki aufnehmen.

[zub]

Morgen,
@DokuMan, danke für den Hinweis, werde es einbauen und testen.

Gruß
Waldemar

[Tomcraft]

Und wenn du lieb bist, dann stellst du uns das fertige Modul hier wieder zur Verfügung.

Grüße

Torsten

[zub]

Hallo,
habe die Datei wie DokuMan sagte angepasst. Da meine Kenntnisse aber nicht so berauschend sind bitte noch einmal von den Profis drüberschauen. Ich habe es zwar getestet und es gibt keinen Fehler, aber vier Augen sehen mehr als 2.

@Torsten: Mach ich, wenn alles gut ist lade ich das Modul hoch.

Gruß
Waldemar

[Tomcraft]

*schieb*

Grüße

Torsten

[h-h-h]

Hab noch mal in die Datei von zub geschaut:

Code: PHP  [Auswählen]

 $wo_full_name = xtc_db_input ('Guest');

Ergibt keinen Sinn.

Code: PHP  [Auswählen]

$wo_session_id = strtolower((isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : ''));

Sollte auch abgesichert werden, da dieser direkt vom Browser gesendet wird.

Code: PHP  [Auswählen]

$wo_session_id = xtc_db_input($_SERVER['HTTP_USER_AGENT']);

Also das Modul sollte unbedingt einen BETA Status bekommen.

Gruß h-h-h

[Tomcraft]

Danke dir für deine Einschätzung!

Wir haben das Modul meines Wissens ja gar nicht bei uns im Forum, daher kann ich dem Modul schlecht einen BETA-Status verpassen.

Grüße

Torsten

[zub]

Guten Morgen,
die Datei gehört zu dem Modul aus diesem Beitrag: BETA MODUL: modified eCommerce Shopsoftware User Tracking

und den Download gab es auch hier: User Tracking für xtC v3.04 SP1 – SP2.1

Gruß
Waldemar

[Tomcraft]

Oh... so kann man sich irren! Dann komme ich dem Wunsch von h-h-h mal nach und setze das Modul auf BETA-Status!

Grüße

Torsten

[h-h-h]

Ich hatte mir ja nur diese eine Datei angeschaut, möchte gar nicht wissen wie die weiteren aussehen. 

Gruß h-h-h