Nachdem uns HHG freundlicherweise auf die M\u00e4ngel in den XT- und Gambio-Patches f\u00fcr das magic_quotes-Problem bei den suchmaschinenfreundlichen URLs hingewiesen hat (vielen Dank nochmal daf\u00fcr!), haben wir uns die ganze Problematik noch einmal genauer angesehen. Nachdem wir HHGs Verbesserungsvorschl\u00e4ge in einen \u00fcberarbeiteten Security-Patch haben einflie\u00dfen lassen, sind uns dabei weitere L\u00fccken im selben Bereich aufgefallen:<\/p>\n
Bei Verwendung der suchmaschinenfreundlichen URLs werden Parameter an den Shop nicht direkt ins GET-Array geschrieben, sondern \u00fcber die PATH_INFO \u00fcbertragen, von wo aus sich der Shop die key\/value-Pairs zieht und diese quasi selbst ins GET-Array schreibt. Durch dieses Verfahren wird allerdings die Anwendung der PHP-Sicherheitseinstellung magic_quotes_gpc umgangen, wodurch die Einspeisung von SQL-Injections erleichtert wird.<\/p>\n
Der urspr\u00fcnglich von XT empfohlene Sicherheitspatch wendet die Funktion addslashes() an den GET-Values an, um das magic_quotes_gpc-Verhalten nachzustellen. Vergessen wurde dabei allerdings, dass sich magic_quotes_gpc auch auf die GET-Keys auswirkt und diese darum ebenfalls mit addslashes() behandelt werden sollten, um den Shop effektiver gegen SQL-Injections zu sch\u00fctzen.<\/p>\n
Weiter ist uns noch ein anderes Problem bei der S\u00e4uberung der suchmaschinenfreundlichen URLs aufgefallen: Arrays, die \u00fcber das „suchmaschinenfreundliche Format“ an den Shop \u00fcbergeben werden, werden nicht gesichert, wodurch neben SQL-Injections theoretisch auch Cross-Site-Scripting (XSS) m\u00f6glich wird.<\/p>\n
Unser \u00fcberarbeiteter Security-Patch beinhaltet
\n– HHGs Korrekturen bzgl. get_magic_quotes_gpc()
\n– die Behandlung der GET-Keys mit addslashes()
\n– und die S\u00e4uberung mehrdimensionaler GET-Arrays aus suchmaschinenfreundlichen URLs<\/p>\n