[HaBo]

kuzdu · 26.07.07, 17:19

hi,

also ich habe mich mal wieder an MySQL-Injection probiert (natürlich an meinen eigenen Scripten).

Ich habe es auch geschafft ein Script/Bsp. von mir zu infizieren.

Über Url:

Zitat:

http://www.xxx.de/script.php?beispie...1,2,3,4,5%20--

Wie ihr vllt erkennen könnt, enthält meine Tabelle 5 Datensätze.
So jetzt kommts zu meiner einen Frage:
Ich kann zwar Zahlen oder Befehle wie current_date() einfügen und bekomme diese dann auch "ausgelesen", wenn ich aber meine Injection in Folgendes ändern würde...

Zitat:

http://www.xxx.de/script.php?beispie...T,2,3,4,5%20--

...kommt es zu einer Fehlermeldung (auf wunsch poste ich die auch)?
Meine Frage, wieso kann ich keinen Text einbinden?

Ich habe in meinem Script keinerlei Sicherheitsmaßnahme.

Jetzt meine 2. "Injection":

Ich habe bei einem Kundenformular von älteren Codes immer ein ' vorgesetzt, promt bekomme ich beim eintragen eine Fehlermeldung:

Zitat:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'asd', `nachname`=''asd', `strasse`=''22', `plz`=''2222', `ort`=''dasdasdasd'' at line 5Fehler beim Speichern der Kundendaten

Jetzt meine Frage, was bringt mir diese Fehlermeldung?
Bzw. was ich mir von euch erhoffe, dass ihr mir vllt einige Stichwörter bzw. Links gebt, wo ich mich in Sachen MySQL-Injection weiterbilden kann.

Ich habe natürlich auch schon google gefüttert, aber immer nur Injections gefunden, wo man OR's oder AND's an i-welche Befehle rannhängt.

greetz

kuzdu

Ps:

Falls jmd das Thema MySQL-Injection interessiert, hier bei Youtube sind 2 sehr coole Vidoes:
einmal hier und hier

kNg · 26.07.07, 17:28

Tach,

Zitat:

`nachname`=''asd'

Wenn ich mir das hier so anschaue, dann sieht es für mich so aus als würdest du versuchen, einen mit " angefangenen String mit ' zu schließen...

Theorethisch sollte es gehen wenn du ein " anhängst, bzw den zugehörigen urlencode davon... damit würdest du den string korrekt abschließen.

gruß kNg

Anzeige

- Anzeige -

kuzdu · 26.07.07, 17:38

Zitat:

`nachname`=''asd'

Also ich habe einfach bei dem Kundenformular beim ausfüllen überall zwei Hochkommas geschrieben '' und dann ging das Script wieder tadellos. Aber die Frage ist ja was es mir als "bösen Hacker" bringt, wenn ich das weiß.

Okay ich weiß wie ich mein Script zum Fehler zwinge und ich weiß wie ich es behebe, aber wo ist für mich die Angriffsmöglichkeit?

Bedroht so ein MySQL-Befehl überhaupt die Sicherheit der Homepage bzw. empfindlichen Daten oder ist so eine Fehlermeldung nur "unschön" für den Benuzter.

thx für die Antwort.

greetz

kudzu

EDIT:
Ich wollte nach 16 Tagen mal ganz vorsichtig Fragen, ob mir niemand weiterhelfen kann?

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
dll Injection - wie gehts weiter	HighBoon	Code Kitchen	1	13.05.07 20:15
MySQL injection	Globestern	(In)security allgemein	1	21.02.06 12:30
mySQL injection	_fux_	(In)security allgemein	5	12.10.05 17:05
PHPKIT-Mysql Injection ...	fadz	(In)security allgemein	2	04.09.05 16:00
MySQL-Injection	Elderan	(In)security allgemein	1	05.10.04 19:55

[HaBo]

MySQL-Injection und weiter?