Elderan: MySQL-Injection in PHP

Hallo,
ich wollte mal fragen, ob es sooo schlecht Konfigurierte PHP-Server gibt, wo noch MySQL-Injection funktioniert.

Also eine MySQL-Injection sind 2 Anfragen an eine Datenbank. Die eine stammt vom Programmierung und ist regulär, z.B. zur Ausgabe von Daten, die 2. fügt der Angreifer in die URL ein.
Die eingefügte Abfrage führt der PHP-Script dann mit aus, dieser könnte dann evt. Daten löschen.

Allerdings:
|... Das liegt daran, dass mysql_query er nur ein Query ausführt, selbst wenn dieser Funktion 2 oder mehrere MySQL-Querys mit Semikolon getrennt übergeben wurden

Quelle: http://tut.php-q.net/mysql-einrueck.html

Wie Tests beweisen stimmt dies, also der Befehel mysql_query() sendet nur 1 Anfrage.

Aber ich wollte fragen ab welcher PHP Version dies so ist, und ob man den PHP-Server so konfigurieren kann (Patch's/Mod's etc. zählen nicht) dass der mysql_query() Befehl mehr als nur 1 Abfrage sendet.

Denn das wäre ja eine reale Sicherheitslücke, außer es wurde schon in PHP v.3.0 eingeführt, und ich müsste meine Scripts _schnell_ modifizieren

MFG
Elderan

  1. also meines wissens ist bei meinem anbieter (domain*go) noch mehr als eine abfrage mittels mysql_query möglich, mit php 4.3.0

    1. Hi Balthi,

      also meines wissens ist bei meinem anbieter (domain*go) noch mehr als eine abfrage mittels mysql_query möglich, mit php 4.3.0

      Kann man das irgendwo nachschauen, wie das bei einem eingestellt ist? Also z.B. so wie in php phpinfo() o.ä.?

      MfG, Dennis.

      --
      Mein SelfCode: ie:{ fl:{ br:^ va:) ls:< fo:) rl:( n4:& ss:) de:> js:( ch:{ sh:( mo:} zu:|
      Zufällige Hinweise:
      ------------------------
      - Bitte schickt mir die Antwort als E-Mail an xy@xy.de
      Wie bitte? Noe, gibbet net!
  2. hi,

    Also eine MySQL-Injection sind 2 Anfragen an eine Datenbank.

    nö, müssen keine zwei sein.

    auch wenn du beispielsweise nur prüfst, ob die logindaten, username und passwort, in der DB vorhanden sind, kann man da ggf. eine injection reinschmuggeln.

    nehmen wir mal an, deine WHERE-klausel lautete

    WHERE username = '$username' AND passwort = '$passwort'

    wobei $username und $passwort vom formular kommen.

    wenn ich dir jetzt als wert für $passwort "blah' OR 1#" übermittle, ergibt das in deine query eingesetzt

    WHERE username = '$username' AND passwort = 'blah' OR 1#'

    der letzte teil ist damit immer wahr (# als kommentarzeichen beendet die queryzeile, das abschließende ' stört also nicht mehr), und ich muss nur noch einen gültigen usernamen wissen, um mich bei dir als eben dieser user einloggen zu können.

    das wäre nicht passiert, wenn du die sonderzeichen wie ' in den von außen kommenden daten korrekt maskiert hättest - dazu gibt es in PHP beispielsweise die funktionen mysql_escape_string bzw. mysql_real_escape_string.

    gruß,
    wahsaga

    --
    "Look, that's why there's rules, understand? So that you _think_ before you break 'em."
    1. Hi,
      gut danke das geht auch.

      Aber zum Glück :) habe ich es automatisch richtig gemacht.

      Ich habe die Zeile abgefragt mit dem Username und dann in einer if-Anweisung die Passwörter verglichen.

      MFG
      Elderan

    2. Hello,

      muss das hier sein?

      Harzliche Grüße aus http://www.annerschbarrich.de

      Tom

      --
      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
      Nur selber lernen macht schlau
      1. Hi Tom,

        muss das hier sein?

        Es gehört hier eigentlich nicht so wirklich hin, da stimme ich dir zu, falls nämlich jemand das hier liest, der damit nicht umgehen kann.

        Allerdings denke, dass jeder halbwegs kluge Mensch soetwas mittels PHP Manual etc. selber herrausfinden kann - und du weißt wie gut das Forum in der Regel besucht ist, vermutlich haben das jetzt eh schon ne menge Leute gelesen.

        MfG, Dennis.

        --
        Mein SelfCode: ie:{ fl:{ br:^ va:) ls:< fo:) rl:( n4:& ss:) de:> js:( ch:{ sh:( mo:} zu:|
        Zufällige Hinweise:
        ------------------------
        - Bitte schickt mir die Antwort als E-Mail an xy@xy.de
        Wie bitte? Noe, gibbet net!
        1. Hello,

          Es gehört hier eigentlich nicht so wirklich hin, da stimme ich dir zu, falls nämlich jemand das hier liest, der damit nicht umgehen kann.

          Allerdings denke, dass jeder halbwegs kluge Mensch soetwas mittels PHP Manual etc. selber herrausfinden kann - und du weißt wie gut das Forum in der Regel besucht ist, vermutlich haben das jetzt eh schon ne menge Leute gelesen.

          Die andere Sache auch (siehe eMail). Und das finde ich viel schlimmer. Und dass es dann auch noch gutgeheißen wird, dass explizit darüber gesprochen wird, finde ich noch schlimmer.

          Erstmal die Gegenmaßnahmen ergründen und die publizierene und dann darüber reden.
          Aber wahrscheinlich bin ich da nicjht risikobereit genug. Jedenfalls ist die Verbreitung von Anleitungen nahe an einer Straftat.

          Harzliche Grüße aus http://www.annerschbarrich.de

          Tom

          --
          Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
          Nur selber lernen macht schlau
          1. Hi,

            Aber wahrscheinlich bin ich da nicjht risikobereit genug. Jedenfalls ist die Verbreitung von Anleitungen nahe an einer Straftat.

            soso. Glaubst Dus wirklich?

            Gruss,
            Ludger

            --
            "Die SPD im Aufwind?"
          2. Hallo,

            Aber wahrscheinlich bin ich da nicjht risikobereit genug. Jedenfalls ist die Verbreitung von Anleitungen nahe an einer Straftat.

            Das sehe ich gar nicht so.
            Auch wenn man Bugs bis zum tode verschweigt, irgendwann wird es bekannt, und dann nur wenigen Personen.

            Du hast doch bestimmt schonmal einen Server konfiguriert. Stell dir mal vor, du hättest keine Ahnung was man dabei alles beachten, was würde dabei herrauskommen?

            Ein absolut unsicherer Server.

            Du gehst jetzt auf Workshops zum Thema: Serversicherheit und lernst dabei wodrauf man so alles achten muss.
            Jetzt konfigurierst du den Server neu, und zwar so, das er "Sicher" ist. Die Kunden werden sich freuen.

            Das gleiche ist beim Programmieren.

            Wenn du keine Ahnung hast, was man beachten muss, damit so ein Script sicher ist, dann wird dich das ziehmlich schnell bestrafen.
            Denn es gibt immer welche, die auch ohne Internet etc. Schwachstellen herrausfinden, dazu reicht genügend Programmiererfahrung.
            Und der erfahrene Programmierer könnte dein Prog. locker knacken, aber er dürfte dir keine Verbesserungstipps geben, denn das wäre ja eine Straftat.

            Jetzt kommt ein böser Programmierer und löscht alle Daten auf deinem Server, nur weil der erfahrene Programmierer dir nicht erzählen _durfte_ was du falsch gemacht hast.

            Was dabei herraus kommt, sieht man z.B. an der Telekom:
            http://ds.ccc.de/083/obsoc/

            Die Programmierer haben auch die Gefahren schlechter Programmierung ignoriert bzw. denen war es nicht bewußt, was ich mit kaum vorstellen kann.

            Und noch das:
            Exploits: Schwert oder Schild`?
            http://www.heise.de/security/result.xhtml?url=/security/artikel/47034

            MFG

          3. Hallo Tom,

            Jedenfalls ist die Verbreitung von Anleitungen nahe an einer Straftat.

            Bitte nenne den entsprechenden Paragraphen aus dem StGB oder dem Nebenstrafrecht, der Deiner Ansicht nach in Frage käme.

            Viele Grüße,
            Christian

            1. Hello,

              Jedenfalls ist die Verbreitung von Anleitungen nahe an einer Straftat.

              Bitte nenne den entsprechenden Paragraphen aus dem StGB oder dem Nebenstrafrecht, der Deiner Ansicht nach in Frage käme.

              Dass das Eindringen in fremde Rechnersysteme inzwischen eine Straftat ist, habe ich doch richtig in Erinnerung, oder?

              Dass das Auffordern zu einer Straftat eine Straftat darstellt, ist schon lange Fakt des Deutschen Rechtes.

              Das das Publizieren von Sachverhalten, die einer Aufforderung zu einer Straftat gleichkommen, ebenfalls als solche gewertet wird, ist inzwischen Rechtsbrauch. Vielleicht zwar nicht für "ich nenne die Spender nicht" aber für "normale" Menschen.

              Harzliche Grüße aus http://www.annerschbarrich.de

              Tom

              --
              Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
              Nur selber lernen macht schlau
              1. hi,

                Dass das Auffordern zu einer Straftat eine Straftat darstellt, ist schon lange Fakt des Deutschen Rechtes.

                habe ich das getan?

                Das das Publizieren von Sachverhalten, die einer Aufforderung zu einer Straftat gleichkommen, ebenfalls als solche gewertet wird, ist inzwischen Rechtsbrauch.

                aber ganz sicher nicht bei so einer lapalie. so oder ähnlich wirst du vermutlich dutzende beispiele finden, wenn du mal nach sql injection googlest.

                außerdem habe ich in foren die erfahrung gemacht, dass anfänger sich unter dem stichwort einfach zu wenig vorstellen können, und es dann schnell als "unmöglich" abtun, weswegen sie darauf auch nicht acht zu geben bräuchten.

                und mit einem leicht verständlichen beispiel sieht auch ein anfänger sehr schnell, wie "einfach" es sein kann, und ist damit für die thematik mehr sensibilisiert.

                und wie man dem beim genannten beispiel abhelfen kann, habe ich ja auch noch gleich dazu geliefert.

                gruß,
                wahsaga

                --
                "Look, that's why there's rules, understand? So that you _think_ before you break 'em."
                1. Hallo wahsaga.

                  und wie man dem beim genannten beispiel abhelfen kann, habe ich ja auch noch gleich dazu geliefert.

                  Jo, dafür danke ich dir aufrichtig, ich wäre sonst bei meinem aktuellen Projekt wahrscheinlich in dieses Messer gelaufen.

                  Freundschaft!
                  Siechfred

                  --
                  Nichts ist schwerer einzureißen als die Mauer in den Köpfen.
                2. Hallo wahsaga,
                  das sehe ich genau so.

                  Man hört ja immer das ein auf Kipp stehendes Doppel Fenster sehr unsicher ist, das man mit etwas Übung sehr schnell öffnen kann.

                  Wenn ein bekannter es dir vorführt, heißt dies noch lange nicht, dass man selbst in die Nachtbarschaft geht und Häuser ausräubt, allerdings wird man in zu Zukunft darauf achten, das Fenster nicht mehr auf Kipp zu lassen.

                  Anders Beispiel:
                  Jeder sagt einem: Deaktiviere Active X, es ist einfach zu unsicher.
                  Das Problem jeder sagt das einem, aber dennoch hält sich keiner daran.
                  Wenn ich dir aber eine kleine Beispiel Seite (Heise Secruity => Browsercheck) zeige, wo auch Active X benutzt wird, um z.B. eine Datei ohne deine Zustimmung auf deinen PC zu laden und auszuführen, dann ist es recht wahrscheinlich, dass man Active X deaktiviert und dann funktioniert soetwas auch nicht.

                  Mir fallen jetzt noch so viele Beispiele ein. Z.B. Soll man Klartextpasswörter nicht in Cookies speichern. Wenn einem aber keiner sagt, das man Cookies einfach per Editor lesen kann, dann halten sich auch wenige daran.
                  Oder das Speichern des Passworts in Browser. Das sieht zwar sicher aus, dennoch gibts diverse Tools die in zukunden schnelle das PW wieder lesbar machen.
                  Wenn es solche Tools nicht an jeder Ecke geben würde, würde jeder seine PW vom Browser speichern lassen, im glauben dass sei Sicher, und man könnte riesen Profit mir geknackten PC machen.

                  MFG
                  Elderan

                  1. Hallo, Elderan!

                    Oder das Speichern des Passworts in Browser. Das sieht zwar sicher aus, dennoch gibts diverse Tools die in zukunden schnelle das PW wieder lesbar machen.

                    also für das dfü-passwort kenne ich _nur_ein_ funktionierendes tool.

                    freundl. Grüsse aus Berlin, Raik

                    1. Hallo,

                      also für das dfü-passwort kenne ich _nur_ein_ funktionierendes tool.

                      Na und? Das reicht doch volkommen aus, oder täusche ich mich da?

                      Gruß
                      Alexander Brock

                      --
                      SelfCode: ie:{ fl:{ br:> va:) ls:# fo:) rl:( n4:( ss:| de:> js:( ch:| sh:( mo:) zu:}
                      http://againsttcpa.com
              2. Hallo Tom,

                Dass das Auffordern zu einer Straftat eine Straftat darstellt, ist schon lange Fakt des Deutschen Rechtes.

                Man kann einen Menschen erschießen, indem man eine geladene und entsicherte Pistole auf seinen Kopf richtet und abdrückt.

                Das das Publizieren von Sachverhalten, die einer Aufforderung zu einer Straftat gleichkommen, ebenfalls als solche gewertet wird, ist inzwischen Rechtsbrauch.

                Dann ist obiger Satz für dich wahrscheinlich »Anstiftung zum Mord«?

                Schöne Grüße,

                Johannes

                --
                ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
                1. Hallo,
                  also es gibt so viele Anleitungen zur irgendwelchen "Straftaten".

                  Schau dir mal nur das Abendprogramm an, dort wird anschalich Gezeigt!! wie man Menschen leicht umbringen kann, z.B. Messer, Genickbruch (wie in Rambo), Gift, vom Hochhaussturzen.

                  Solche Sachen laufen auch teilweise im Kinderporgamm, z.B. Spiderman, Bad man etc. Diese erledigen am Ende auch immer den Bösewicht.

                  Nach deiner Definition wären das alles Anleitungen zum Mord, aber zu mindest zur Körperverletzung, und alle diese Produzenten dürften ins Gefängniss gehen.

                  Oder wenn man in Physik das Thema Atombombe durchnimmt, dann ist das auch eine Anleitung (man erfährt was man braucht und wie man es einsetzt) zur Herstellung einer Atombombe, und ich glaube der Besitzt ist nicht ganz legal.
                  Also macht sich jeder Physiklehrer strafbar, denn die Anleitung zu einer Straftat (man kann es auch: Anleitung zu einer Tatsache) wäre schon selbst eine Straftat.

                  MFG
                  Elderan

                  1. Moin,

                    Oder wenn man in Physik das Thema Atombombe durchnimmt, dann ist das auch eine Anleitung (man erfährt was man braucht und wie man es einsetzt) zur Herstellung einer Atombombe, und ich glaube der Besitzt ist nicht ganz legal.

                    Besitz weiss ich jetzt nicht, aber das "Herbeiführen einer Kernexplosion" ist auf jeden Fall illegal. Es gibt sogar eine polizeiliche Statistik dazu: http://groups.google.com/groups?selm=8765iax12j.fsf%40meo-dipt.andreas.org.

                    --
                    Henryk Plötz
                    Grüße aus Berlin
                    ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                    ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                    1. habe d'ehre

                      Besitz weiss ich jetzt nicht, aber das "Herbeiführen einer Kernexplosion" ist auf jeden Fall illegal. Es gibt sogar eine polizeiliche Statistik dazu: http://groups.google.com/groups?selm=8765iax12j.fsf%40meo-dipt.andreas.org.

                      Es kann nur Blondie gewesen sein. :-)

                      man liest sich
                      Wilhelm

                  2. Hallo Elderan,

                    [...]

                    »»

                    Nach deiner Definition wären das alles Anleitungen zum Mord, aber zu mindest zur Körperverletzung, und alle diese Produzenten dürften ins Gefängniss gehen.

                    Nicht nach meiner Definition, sondern nach der von Tom, aber ansonsten geb ich dir Recht. ;-)

                    Schöne Grüße,

                    Johannes

                    --
                    ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
                    1. Hello,

                      Nach deiner Definition wären das alles Anleitungen zum Mord, aber zu mindest zur Körperverletzung, und alle diese Produzenten dürften ins Gefängniss gehen.

                      Nicht nach meiner Definition, sondern nach der von Tom, aber ansonsten geb ich dir Recht. ;-)

                      Eigentlich ahbt Ihr wirklich Recht. Mord darf im Fernsehen gezeigt werden, aber wen die da rumb....., dann schreien die "Ordungswächter" ZeterMordio.

                      Harzliche Grüße aus http://www.annerschbarrich.de

                      Tom

                      --
                      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                      Nur selber lernen macht schlau
              3. Hallo, Tom!

                Dass das Auffordern zu einer Straftat eine Straftat darstellt, ist schon lange Fakt des Deutschen Rechtes.

                nu komm mal wieder runter. wahsaga hat nirgens zu etwas aufgefordert. er hat nur das prinzip erklärt.
                nach deiner auslegung müsste sich die polizei für ihre "vorsicht, einbrecher!"-informationsvideos selber verhaften.

                freundl. Grüsse aus Berlin, Raik

              4. habe d'ehre

                Das das Publizieren von Sachverhalten, die einer Aufforderung zu einer Straftat gleichkommen, ebenfalls als solche gewertet wird, ist inzwischen Rechtsbrauch.

                Du solltest wirklich mal Urlaub machen. Gerade lief in NDR ein schoener Bericht ueber die Highlands. ;-)

                man liest sich
                Wilhelm

              5. Hallo Tom,

                Dass das Eindringen in fremde Rechnersysteme inzwischen eine Straftat ist, habe ich doch richtig in Erinnerung, oder?

                Nicht unbedingt. Das Eindringen selbst ist erst einmal nicht strafbar, nur das, was man nach dem Eindringen dann anstellt: §202a (Ausspähen von Daten), §263a (Computerbetrug), §270 (Täuschung im Rechtsverkehr bei Datenverarbeitung), §303a (Datenveränderung) oder §303b (Computersabotage). Gut, der §202a wird wohl fast immer greifen, wenn man irgendwo eindringt. Und dann stellt sich natürlich die Frage, ob eine SQL-Injection-Attacke schon ein Eindringen ist. Wenn man diese nur ausnutzt, um zu sehen, ob diese überhaupt funktioniert und danach den Betreiber sofort informiert (und selbst nichts weiteres tut), ist das meiner Ansicht nach *nicht* strafbar.

                Außerdem: SQL-Injection-Attacken muss man ja nicht immer bei fremden Systemen durchführen, man kann sie ja auch bei eigenen probieren um festzustellen, ob das eigene System sicher ist. Insofern ist das Wissen, wie eine SQL-Injection-Attacke funktioniert, sehr, sehr hilfreich beim Testen der eigenen Software. Denn die Tatsache, dass das, was sie tun, strafbar ist, hält Kriminelle ja später nicht davon ab, potentielle Lücken dann auch zu nutzen.

                Dass das Auffordern zu einer Straftat eine Straftat darstellt, ist schon lange Fakt des Deutschen Rechtes.

                Ja.

                Das das Publizieren von Sachverhalten, die einer Aufforderung zu einer Straftat gleichkommen, ebenfalls als solche gewertet wird, ist inzwischen Rechtsbrauch.

                Aha? Das wäre mir wirklich neu.

                Vielleicht zwar nicht für "ich nenne die Spender nicht" aber für "normale" Menschen.

                Bitte sieh nicht überall irgendwo eine Weltverschwörung. Danke.

                Christian

                PS: Alle Paragraphen beziehen sich auf das StGB.

                1. Moin,

                  Nicht unbedingt. Das Eindringen selbst ist erst einmal nicht strafbar, nur das, was man nach dem Eindringen dann anstellt: §202a (Ausspähen von Daten), §263a (Computerbetrug), §270 (Täuschung im Rechtsverkehr bei Datenverarbeitung), §303a (Datenveränderung) oder §303b (Computersabotage).

                  Naja, also wenn man nitpickt dann hat man beim 'Eindringen' ja schon Daten verändert, nämlich die des Logs ;-)  Im Übrigen sprechen die 300er IIRC von Datenverarbeitungsanlagen die für einen Betrieb oder eine Behörde von wichtiger Bedeutung sind. (Hab keine Lust das jetzt nachzulesen.) Und AFAIK sprechen alle diese Paragraphen von "besonders gesichert"en Anlagen. Ob eine Anlage bei der man in ein Feld Programm-Code eingibt und diese den dann einfach so ausführt als besonders gesichert durchgeht habe ich meine Zweifel.

                  Außerdem: SQL-Injection-Attacken muss man ja nicht immer bei fremden Systemen durchführen, man kann sie ja auch bei eigenen probieren um festzustellen, ob das eigene System sicher ist.

                  Ach komm, nu verwirr den armen Tom nicht auch noch mit Fakten. Da könnte ja jeder kommen...

                  Bitte sieh nicht überall irgendwo eine Weltverschwörung. Danke.

                  Dass du paranoid bist heisst nicht dass SIE nicht hinter dir her sind. Oder so. ;-) Ich frage mich aber ob man dem Tom nicht mal raten sollte seine Psychopharmaka wieder zu nehmen, das nimmt wirklich langsame wenig gesunde Ausmaße an.

                  --
                  Henryk Plötz
                  Grüße aus Berlin
                  ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                  ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                  1. Hello,

                    Dass du paranoid bist heisst nicht dass SIE nicht hinter dir her sind. Oder so. ;-) Ich frage mich aber ob man dem Tom nicht mal raten sollte seine Psychopharmaka wieder zu nehmen, das nimmt wirklich langsame wenig gesunde Ausmaße an.

                    Vielen Dank für den Tipp.
                    Ich werde mich bestimmt mal revanchieren. Versprochen sit versprochen. ;-)

                    Harzliche Grüße aus http://www.annerschbarrich.de

                    Tom

                    --
                    Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                    Nur selber lernen macht schlau
                2. gudn tach!

                  zunaechst moechte ich der vollstaendigkeit halber ein paar links zum stgb nennen:
                  http://bundesrecht.juris.de/bundesrecht/stgb/index.html
                  http://bundesrecht.juris.de/bundesrecht/stgb/__202a.html
                  http://bundesrecht.juris.de/bundesrecht/stgb/__303a.html

                  Wenn man diese [SQL-Injection-Attacke] nur ausnutzt, um zu sehen, ob diese überhaupt funktioniert und danach den Betreiber sofort informiert (und selbst nichts weiteres tut), ist das meiner Ansicht nach *nicht* strafbar.

                  meiner meinung nach auch nicht. aaaber in §202a(1) steht explizit "Daten, die nicht für ihn bestimmt [...] sind".
                  und das waere imho gegeben, denn nach dem ausprobieren der sicherheitsluecke, sind ja die eruierten daten im cache des "hackers" (=sicherheitsrisiko). aber auch wenn er den cache leere wuerde, waeren die daten evtl. in seinem kopf (wieder sicherheitsluecke).

                  in der praxis wird niemand, der vernuenftig ist und dem von einem sicherheitsloch berichtet wird, den berichterstatter lynchen wollen. zumal ihm danach wohl niemals wieder jemand von etwaigen weiteren sicherheitsloechern berichten wuerde.
                  der haken an der sache ist, dass nicht immer jeder vernuenftig ist.

                  hmm, merke beim erneuten durchlesen, dass sich mein kram ganz schon an den haaren herbeigezogen anhoert. aber aeh, den eindruck habe ich auch manchmal, wenn ich richtige juristische verteidigungen (nein, nicht die aus dem nachmittags-tv) lese/hoere. ;-)

                  prost
                  seth

                  1. Hallo seth,

                    Wenn man diese [SQL-Injection-Attacke] nur ausnutzt, um zu sehen, ob diese überhaupt funktioniert und danach den Betreiber sofort informiert (und selbst nichts weiteres tut), ist das meiner Ansicht nach *nicht* strafbar.

                    meiner meinung nach auch nicht. aaaber in §202a(1) steht explizit "Daten, die nicht für ihn bestimmt [...] sind".
                    und das waere imho gegeben, denn nach dem ausprobieren der sicherheitsluecke, sind ja die eruierten daten im cache des "hackers" (=sicherheitsrisiko). aber auch wenn er den cache leere wuerde, waeren die daten evtl. in seinem kopf (wieder sicherheitsluecke).

                    Allerdings steht da auch »und die gegen unberechtigten Zugang besonders gesichert sind« - man könnte dann ja argumentieren, dass man aufgedeckt hat, dass sie eben nicht "besonders gesichert" waren. Aber Du hast Recht, es ist eine Grauzone.

                    Viele Grüße,
                    Christian

                    1. Hi,

                      Allerdings steht da auch »und die gegen unberechtigten Zugang besonders gesichert sind« - man könnte dann ja argumentieren, dass man aufgedeckt hat, dass sie eben nicht "besonders gesichert" waren.

                      Wenn ich so die aktuelle Rechtssprechung verfolge reicht für "besonders gesichert" schon ein Schild "Betreten verboten". *sigh*

                      so short

                      Christoph Zurnieden

                  2. Hello,

                    zunaechst moechte ich der vollstaendigkeit halber ein paar links zum stgb nennen:
                    http://bundesrecht.juris.de/bundesrecht/stgb/index.html
                    http://bundesrecht.juris.de/bundesrecht/stgb/__202a.html
                    http://bundesrecht.juris.de/bundesrecht/stgb/__303a.html

                    Wenn man diese [SQL-Injection-Attacke] nur ausnutzt,

                    Darum ging es nicht.

                    meiner meinung nach auch nicht. aaaber in §202a(1) steht explizit "Daten, die nicht für ihn bestimmt [...] sind".

                    Und was ist damit?

                    7.  Verletzung von Betriebs- oder Geschäftsgeheimnissen eines im räumlichen    Geltungsbereich dieses Gesetzes liegenden Betriebs, eines Unternehmens,    das dort seinen Sitz hat, oder eines Unternehmens mit Sitz im Ausland, das    von einem Unternehmen mit Sitz im räumlichen Geltungsbereich dieses    Gesetzes abhängig ist und mit diesem einen Konzern bildet;

                    Harzliche Grüße aus http://www.annerschbarrich.de

                    Tom

                    --
                    Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                    Nur selber lernen macht schlau
                    1. Hello,

                      §§303a ff

                      und immer wieder: "Der Versuch ist strafbar"!

                      Harzliche Grüße aus http://www.annerschbarrich.de

                      Tom

                      --
                      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                      Nur selber lernen macht schlau
                    2. Moin,

                      Und was ist damit?

                      7.  Verletzung von Betriebs- oder Geschäftsgeheimnissen eines im räumlichen    Geltungsbereich dieses Gesetzes liegenden Betriebs, eines Unternehmens,    das dort seinen Sitz hat, oder eines Unternehmens mit Sitz im Ausland, das    von einem Unternehmen mit Sitz im räumlichen Geltungsbereich dieses    Gesetzes abhängig ist und mit diesem einen Konzern bildet;

                      Boah, du hast dich wieder selbst übertroffen. So schlecht und themenfremd hast selbst du bisher noch nicht fehlzitiert (nicht mal in dem 998-Zeichen-Thread). Für alle die sich wundern wo das herkam: StGB §5 "Geltungsbereich", der Paragraph beginnt mit den Worten: "Das deutsche Strafrecht gilt, unabhängig vom Recht des Tatorts, für folgende Taten, die im Ausland begangen werden:"

                      --
                      Henryk Plötz
                      Grüße aus Berlin
                      ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                      ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                      1. Hello,

                        Und was ist damit?

                        7.  Verletzung von Betriebs- oder Geschäftsgeheimnissen eines im räumlichen    Geltungsbereich dieses Gesetzes liegenden Betriebs, eines Unternehmens,    das dort seinen Sitz hat, oder eines Unternehmens mit Sitz im Ausland, das    von einem Unternehmen mit Sitz im räumlichen Geltungsbereich dieses    Gesetzes abhängig ist und mit diesem einen Konzern bildet;

                        Boah, du hast dich wieder selbst übertroffen. So schlecht und themenfremd hast selbst du bisher noch nicht fehlzitiert (nicht mal in dem 998-Zeichen-Thread). Für alle die sich wundern wo das herkam: StGB §5 "Geltungsbereich", der Paragraph beginnt mit den Worten: "Das deutsche Strafrecht gilt, unabhängig vom Recht des Tatorts, für folgende Taten, die im Ausland begangen werden:"

                        Nun wrd nicht ulkig!

                        Ich ahbe gefragt, was damit ist. Und viele der Angriffe auf deutsche DV-Anlagen kommen doch aus dem Ausland. Also wieso sollten die dann nicht strafbar sein, falls der Verletzer sich mal nach DE verirrt?

                        Darüberhinaus ist auch der 998-Zeichen-Fall noch nicht abgeschlossen, denn es gibt (leider) einige involvierte Systeme, die das für sich in Anspruch nehmen, auch wenn die RFC da theoretisch anderer Meinung ist. Meh dazu aber mal, wenn ich etwas gesammelt habe.

                        Harzliche Grüße aus http://www.annerschbarrich.de

                        Tom

                        --
                        Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                        Nur selber lernen macht schlau
                        1. Hallo Tom,

                          Darüberhinaus ist auch der 998-Zeichen-Fall noch nicht abgeschlossen, denn es gibt (leider) einige involvierte Systeme, die das für sich in Anspruch nehmen, auch wenn die RFC da theoretisch anderer Meinung ist. Meh dazu aber mal, wenn ich etwas gesammelt habe.

                          Zum Sammeln: </archiv/2003/12/65500/>

                          Viele Grüße,
                          Christian

                        2. Moin,

                          Darüberhinaus ist auch der 998-Zeichen-Fall noch nicht abgeschlossen

                          Doch, er ist.

                          denn es gibt (leider) einige involvierte Systeme, die das für sich in Anspruch nehmen, auch wenn die RFC da theoretisch anderer Meinung ist.

                          Nein, du hast da lediglich was missverstanden. Bei den "offiziellen Aussagen" bei denen es "einige extrem Fortgeschrittene [...] nachher einsehen [mussten]" wie du schreibst hast du dich lediglich vertan.

                          Du beziehst dich offenbar auf ein Posting von Christian Seiler (welches zu finden ich dir überlasse) in dem er aus RFC 2822 zitiert, wo tatsächlich was von 998 Zeichen steht. Das bezieht sich aber auf das "Internet Message Format".

                          Jaja, ich gebe ja zu "Internet Message Format", "HTTP Response Body", das kann man schonmal durcheinanderbringen...
                          Aber auch wenn du es mehrfach behauptest entsteht dadurch weder in HTTP noch in HTML an sich eine Zeilenbeschränkung (und wie gesagt nicht mal Zeilen).

                          Deine Behauptung dass den RFC "nachweislich nicht jeder einhält" (in dieser Sache; dass es sehr, sehr viele andere Sachen gibt bei denen Programmierer bewiesen haben dass sie mit dem Verständnis englischer Texte überfordert sind steht ausser Frage) hast du jedenfalls nicht untermauern können.

                          --
                          Henryk Plötz
                          Grüße aus Berlin
                          ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                          ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                          1. Hello,

                            Moin,

                            Darüberhinaus ist auch der 998-Zeichen-Fall noch nicht abgeschlossen

                            Doch, er ist.

                            Dann mach ich mir mal nen Kreuz an den Thread.

                            Das scheint dann also definitiv nur zu gelten für die "Internet Media Types" message/http und application/http nach HTTP/1.1 und RFC2616

                            Ich danke Dir/Euch für die Mühe.

                            Harzliche Grüße aus http://www.annerschbarrich.de

                            Tom

                            --
                            Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                            Nur selber lernen macht schlau
                        3. Hallo Tom,

                          Darüberhinaus ist auch der 998-Zeichen-Fall noch nicht abgeschlossen, denn es gibt
                          (leider) einige involvierte Systeme, die das für sich in Anspruch nehmen, auch wenn die
                          RFC da theoretisch anderer Meinung ist. Meh dazu aber mal, wenn ich etwas gesammelt habe.

                          Dir ist schon klar, dass Binaer-Dateien, deren uncodierte Auslieferung ueber HTTP ja
                          durchaus gang und gaebe ist, keinen einzigen Zeilenumbruch haben muessen aber durchaus
                          mehrere MB gross sein koennen?

                          Grüße,
                           CK

                          --
                          Wenn der Schüler bereit ist, erscheint der Meister.
                          http://wwwtech.de/
                          1. Dir ist schon klar, dass Binaer-Dateien, deren uncodierte Auslieferung ueber HTTP ja
                            durchaus gang und gaebe ist, keinen einzigen Zeilenumbruch haben muessen aber durchaus
                            mehrere MB gross sein koennen?

                            Nummer Eins? Realitätsverzerrungsfeld auf maximale Intensität! Alarmstufe Rot! Sichtschirm aus! Volle Kraft vorwärts! Augen zu und durch!

                            *finger in die Ohren steck* *sing* Nanananana, ich hör dich nicht, ich hör dich nicht. Ganz und gar nicht. Nein ich hör dich nicht ...

                            (Also ich an Toms Stelle würde das 'Problem' jetzt einfach dadurch lösen, dass ich behaupten würde, dass in den 'offiziellen Dokumenten' steht, dass man in dem Fall Transfer-Encoding: chunked benutzen muss und ein Chunk höchstens 998 Octets lang sein darf, damit dann der Zeilenumbruch kommen kann ...)

                            1. Hello,

                              (Also ich an Toms Stelle würde das 'Problem' jetzt einfach dadurch lösen, dass ich behaupten würde, dass in den 'offiziellen Dokumenten' steht, dass man in dem Fall Transfer-Encoding: chunked benutzen muss und ein Chunk höchstens 998 Octets lang sein darf, damit dann der Zeilenumbruch kommen kann ...)

                              Nun finde ichs nicht mehr lustig.
                              Drehen wir uns jetzt im Kreis, oder können wir es tatsächlich irgendwo verbindlich nachlesen, dass endlich mal Ruhe ist? Ich mach mir dann auch ein rotes Kreuz an den Thread ;-)

                              Was ist denn nun richtig?

                              Harzliche Grüße aus http://www.annerschbarrich.de

                              Tom

                              --
                              Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                              Nur selber lernen macht schlau
        2. Hallo,
          hmm ich hoffe ich haben deinen Post richtig verstanden:

          Ich finde schon das es hier hingehört, denn das Forum wird auch von vielen PHP-Anfänger besucht.

          Wenn die jetzt an einem echten Beispiel sehen wie leicht man eine Passwortabfrage aushebeln kann (bzw. diese Passwortabfrage), dann kann man das jetzt von 2 Seite sehen:

          Negaitv:
          Die könnten auf dumme Gedanken kommen und nach Scripts suchen die noch so eine Abfrage benutzen.
          Wenn die daran wirklich Intresse haben, dann findet man bei Google genug üner MySQL Injection.

          Positiv:
          Der PHP Neuling hat dies gelesen und weiß jetzt, wie er die Passwortabfrage auf _keinen_ falls Programmieren darf.
          Evt. wird er auch seine Freunde warnen.
          Wenn so gut wie keiner die Lücke mehr aufreißt, so wird es auch sehr schwer einen Script so auszuhebeln.

          Ich kenne viele PHP-Programmierer, teilweise die damit ihr Geld verdienen, die solche Passwortabfragen hin und wieder mal benutzen. bzw. nur durch _Zufall_ so eine nicht benutzt haben.

          Falls jetzt jeder solche Angriffe zensiert, löscht, totschweigt etc., so konzentriert sich das Wissen auf wenige Personen die es selbst herrausgefunden haben, was ja auch nicht so schwer ist, wenn man wirklich daran Intressiert hat.
          Diese wenigen Personen könnten dann durch Kriminelle Machenschaften viel Schaden anrichten, und die Programmierer hätten keine Ahnung wie die Kriminellen das geschafft haben, denn der Angriff/die Angriffsmethoden wird ja zensiert.

          Sehr viele, wenn leider nicht alle, kennen die Gefahr mit dem include.
          Wenn man eine Include Datei ungefiltert per URL laden kann, dann kann sowas ja für Firmen gigantischen Schaden anrichten.

          Stellen wir uns vor, über dieses Sicherheitsloch drüfte keine Person sprechen.
          Was würde passieren?
          Immer weniger Personen wüssten davon das include zu gefährlich sein kann, die sterben einfach aus ;), also wird es immer mehr in Scripts benutzt.
          Die Folgen könnt ihr euch bestimmt denken....

          Wenn aber jetzt _jeder_ PHP-Programmier das Sicherheitsloch kennt, und es _niemals_ in seinen Scripts benutzt, dann wird es für Angreifer unmöglich sein dieses Sicherheitsloch auszunutzen.
          Nur wenn eine Minderheit von solchen Sicherheitslocher beschweid weiß, können sie auch viel besser ausgenutzt werden.
          Man schaut sich nur mal Sasser an....

          Die meißten Privat Personen wussten nicht das der Nachrichtendienst eine Gefahr ist, also deaktivierten sie ihn nicht.

          Nach Monaten des bekannt werden des Bugs hat dann so ein dummer Wurm alle unwissenden Bestraft.

          MFG
          Elderan

      2. Moin,

        muss das hier sein?

        Muss was hier sein?

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
      3. Hi!

        muss das hier sein?

        Ach, es wird sogar im Manual groß und breit beschrieben: http://www.php.net/manual/de/security.database.sql-injection.php, neben einigen anderen Erklärungen: http://de3.php.net/manual/de/security.php.

        Grüße
        Andreas

        --
        SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
        1. Hello,

          muss das hier sein?
          Ach, es wird sogar im Manual groß und breit beschrieben:

          Fragt sich, was mehr gelesen wird. Das Manual oder das SelfForum *g*

          Harzliche Grüße aus http://www.annerschbarrich.de

          Tom

          --
          Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
          Nur selber lernen macht schlau
  3. Moin,

    Aber ich wollte fragen ab welcher PHP Version dies so ist, und ob man den PHP-Server so konfigurieren kann (Patch's/Mod's etc. zählen nicht) dass der mysql_query() Befehl mehr als nur 1 Abfrage sendet.

    Letzteres: Nein. Aber wer sowas: http://www.heise.de/security/news/meldung/51838 hinkriegt, der benutzt bestimmt auch

    function my_leet_mysql_query($query) {
      $queries = explode(";", $query);
      foreach($queries as $query) mysql_query($query);
    }

    --
    Henryk Plötz
    Grüße aus Berlin
    ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
    ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~