Thema: SQL Injections

ritti1989 · **am:** 24. Oktober 2013, 20:03:15

Hallo Leute,

wenn ich verschiedene SQL Injections auf meinen Modified Shop laufen lasse, kann ich so einige Daten aus dem Shop auslesen. Das gefällt mir nicht.
In der php.ini ist bereits folgendes eingetragen:

Code: PHP [Auswählen]

session.use_only_cookies = 1
session.cookie_httponly = 1

In der HTACCESS ist folgendes eingetragen:

Code: PHP [Auswählen]

php_flag session.use_trans_sid off

Es wird trotzdem bei einigen generierten URLs im Shop die MODsid angehängt. Das ist das erste. Weiterhin kann ich per SQL-Injection interne Daten auslesen.

Ich brauche DRINGEND eure Hilfe. Danke

beste Grüße
Toni

Linkback: https://www.modified-shop.org/forum/index.php?topic=28123.0

jannemann · **Antwort #1 am:** 24. Oktober 2013, 20:51:45

Hallo ritti1989,

welche Shopversion setzt du ein?

Schöne Grüße,
Jan

Modulfux · **Antwort #2 am:** 24. Oktober 2013, 22:16:50

Es wäre auch nett, das vermeintliches SQL-Incjtion Tool zu nennen.

Gruß
Ronny

noRiddle (revilonetz) · **Antwort #3 am:** 24. Oktober 2013, 22:23:21

Genau.

Shopversion ?
session.use_only_cookies gehört auf 0/off,
andernfalls funktionieren gewisse Aktionen im Shop nicht wenn ein Besucher mit im Browser deaktivierten Cookies kommt (z.B. Warenkorb).
Welche SQL-Injections sollen auf modified möglich sein ?
Du machst hier viel Wind, also rede bitte Tacheles.

Gruß,
noRiddle

ritti1989 · **Antwort #4 am:** 24. Oktober 2013, 23:03:21

Shopversion 1.06
session.use_only_cookies lass ich auf 0 setzeb
Habs mit webcruiser getestet

Mir wurde nur gesagt das der Shop angreifbar ist und das ich was machen muss...

h-h-h · **Antwort #5 am:** 24. Oktober 2013, 23:32:34

Wer einen Vulnerability Scanner verwendet, sollte die Ergebnisse auch auswerten bzw. verstehen können.

Viele Grüße,

h-h-h

hbauer · **Antwort #6 am:** 24. Oktober 2013, 23:35:52

Hallo Toni

das ist natürlich eine ernste Angelegenheit.

Wenn Du die SQL Injections gegen die Demo Shops laufen läst kannst Du dort auch die "internen Daten" auslesen?

Könntest Du identifizierten URLs über das Kontaktformular (und nicht über das Forum) an das Team senden?

Gruß

Hagen

ritti1989 · **Antwort #7 am:** 25. Oktober 2013, 09:03:36

Moin Hagen,

danke. Kannst du dich mal per Mail bei mir melden?

bg
Toni

Morgenstund · **Antwort #8 am:** 25. Oktober 2013, 10:57:07

Abgesehen davon, ob das stimmt oder nicht: Ist es eine gute Idee, solcherlei in einem öffentlichen Forum zu posten, statt es den Entwicklern privat mitzuteilen?

fishnet · **Antwort #9 am:** 25. Oktober 2013, 19:58:44

das ist völlig unerheblich. Profis haben es nicht nötig hier mitzulesen und Laien können mit diesen Informationen nichts anfangen, außer das es dann eine Stellungnahme des Teams gibt
a) alles in Ordnung oder
b) Lücke gefunden und gefixt.

<offtopic>: Es gibt noch so viele xt commerce 3.04 Shops, warum sollte man sich die Mühe machen, einen Modified Shop zu hacken

</offtopic>

ritti1989 · **Antwort #10 am:** 27. Oktober 2013, 18:01:23

Hi fishnet,

Inwiefern Lücke behoben? Kannst mir per Pn bzw email sagen was ich wo ändern muss?

Bg
Toni

fishnet · **Antwort #11 am:** 27. Oktober 2013, 22:03:48

Einfach nochmals lesen ...

Thema: SQL Injections

ritti1989

SQL Injections

jannemann

Re: SQL Injections

Modulfux

Re: SQL Injections

noRiddle (revilonetz)

Re: SQL Injections

ritti1989

Re: SQL Injections

h-h-h

Re: SQL Injections

hbauer

Re: SQL Injections

ritti1989

Re: SQL Injections

Morgenstund

Re: SQL Injections

fishnet

Re: SQL Injections

ritti1989

Re: SQL Injections

fishnet

Re: SQL Injections

Teile Thema

Ähnliche Themen

BUGFIX: Sicherheitslücke für SQL-Injections in der checkout_shipping_address.php