Clemens: Sicherheitsproblem SSI-Befehl "exec" in Suchanfrage

SELF-Forum

Sicherheitsproblem SSI-Befehl "exec" in Suchanfrage

Clemens
Informationen zu den Bewertungsregeln

Hallo!

Das stand heute im heise-Newsticker:
http://heise.de/newsticker/data/ju-05.07.02-001/

Hat jemand dazu praxisorientierte Tipps?

Clemens

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Sicherheitsproblem SSI-Befehl "exec" in Suchanfrage

    Michael Schröpl
    Informationen zu den Bewertungsregeln

    Hi,

    Das stand heute im heise-Newsticker:
    http://heise.de/newsticker/data/ju-05.07.02-001/
    Hat jemand dazu praxisorientierte Tipps?

    also ich habe diese Meldung mindestest dreimal lesen
    müssen, um überhaupt zu verstehen, was da passiert
    sein könnte.
    Und mein Kommentar dazu ist nun: "Auf diese Idee muß
    man erst mal kommen". Womit ich nicht etwa den Angrei-
    fer meine, sondern zunächst mal den Anbieter ...

    Was tun die da eigentlich?

    Sie scheinen ein Formular zu haben, das seine Eingabe
    an etwas übergibt, was selbst SSI interpretieren kann.
    Das kann also zunächst mal kein serverseitiges Skript
    selbst sein - das würde mit SSI-Anweisungen ja nichts
    anfangen können.
    Es scheint vielmehr eine SSI-Seite zu sein, welche dann
    selbst via "exec" oder "include virtual" den eigent-
    lichen Suchmaschinenaufruf enthält (versorgt über den
    Query-String, den SSI als Environment-Variable an-
    sprechen kann), der sein Ergebnis an einer bestimmten
    Stelle in diese SSI-Seite einbindet.
    Drum herum sind offenbar andere Inhalte - wieso auch
    immer (siehe unten).

    Wenn man bei einem solchen Szenario eine hinreichend
    geschickte Eingabe wählt, die - der Kardinalfehler
    schlechthin - ungeparsed in die SSI-Seite eingebettet
    wird, dann schließt man damit die Anweisung zur Suche
    _und_ öffnet damit gleich eine weitere Anweisung zum
    Aufruf eines weiteren Programms auf dem Server - von
    dessen Existenz und Lokation man natürlich wissen muß,
    aber daß die Tagesschau einen Apache 1.3.12 (Asbach
    Uralt) unter UNIX verwendet, das erzählt sie schließ-
    lich über ihre HTTP-Header.

    Wozu das Ganze? Ich vermute, um die Suchmaschinen-
    Ausgabe heftig mit Werbung und Ähnlichem garniert dem
    Betrachter anbieten zu können, ohne daß die Suchma-
    schine selbst dies wissen muß (d. h. man deren Code
    so anpassen müßte, daß sie selbst diese Werbung aus-
    gibt - _das_ wäre die ungefährliche Version gewesen).

    Wenn ich mit meinen Beobachtungen richtig liege, dann
    hat da jemand ein _sehr_ dünnes Brett gebohrt ... das
    fiele ziemlich exakt in dieselbe Gruppe wie die in
    diesem Forum hier tausendmal verurteilte ungeprüfte
    Übernahme von Query-String-Werten in PHP-Variablen.

    Viele Grüße
          Michael

    Beitrag melden
    Informationen zu den Bewertungsregeln