Ich hatte hier gestern ca. 30 E-Mails hintereinander innerhalb einer Stunde mit (z.B.) folgendem Inhalt: Sehr geehrter Admin, der Kunde CpjJwWHV CpjJwWHV testing@example.com möchte sein Konto löschen. Anmerkungen: 555*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15) oder Sehr geehrter Admin, der Kunde CpjJwWHV CpjJwWHV testing@example.com möchte sein Konto löschen. Anmerkungen: w7SmAKxm')) OR 75=(SELECT 75 FROM PG_SLEEP(15))-- oder Sehr geehrter Admin, der Kunde CpjJwWHV CpjJwWHV testing@example.com möchte sein Konto löschen. Anmerkungen: 1 waitfor delay '0:0:15' -- Hat jemand eine Idee was hier abgelaufen ist? Der Kunde "CpjJwWHV CpjJwWHV" befand sich nicht in der Datenbank.
Da hat jemand ein Gastkonto mit dem Namen CpjJwWHV CpjJwWHV erstellt und dann die URL für das Konto-Löschen im Browser eingegeben um dich zuzumüllen. Das das Gastkonto gelöscht wird, findest Du den natürlich nicht in der Datenbank. Tipp: fixiere den Hintergrund, das lenkt beim Scrollen die Augen ab.
Naja, Gastkonten werden ja prinzipiell gelöscht, wenn sich der Gast aus seinem Konto abmeldet. Der "Account löschen"-Link wird Gästen im Kundenkonto nicht angezeigt. Allerdings hast Du es ja hier mit einem speziellen Gast zu tun, der sich beim Löschantrag gleich noch an SQL-Injections versucht. Evtl. hat sich ein Mensch die Mühe gemacht, vorher ein echtes Kundenkonto zu erstellen und kennt daher den Link zur Löschen-Seite oder ein Bot macht sich Gambios unsägliches und von mir schon häufiger fruchtlos kritisiertes Vorgehen zunutze, eine Auflistung sensibler Bereiche für jeden sichtbar in einer Textdatei zu präsentieren.
Was ein simpler Job ist. Ziemlich ziemlich konstruiert im Vergleich oder? Der Inhalt der robots Datei wird da wirklich wirklich nix ändern, da bin ich absolut sicher.
Nein, überhaupt nicht. Es geht diesmal nicht um Noindex-Anweisungen, die Google dank Blockierung via robots.txt nicht lesen darf Es geht um eine Auflistung möglicher Angriffspunkte wie diese: Code: Disallow: /address_book_process.php Disallow: /account.php Disallow: /address_book.php Disallow: /account_edit.php Disallow: /account_edit_process.php Disallow: /account_history.php Disallow: /account_history_info.php Disallow: /checkout_address.php Disallow: /checkout_confirmation.php Disallow: /checkout_payment.php Disallow: /checkout_payment_address.php Disallow: /checkout_process.php Disallow: /checkout_shipping.php Disallow: /checkout_shipping_address.php Disallow: /checkout_success.php Disallow: /checkout_vrepay_elv.php Disallow: /checkout_vrepay_giropay.php Disallow: /checkout_vrepay_kreditkarte.php Disallow: /create_account.php Disallow: /create_account_process.php Disallow: /create_account_success.php Disallow: /create_guest_account.php Wirf doch bei Gelegenheit mal ein, ob das nicht zumindest derart umgestaltet werden kann/sollte: Code: Disallow: /address_* Disallow: /account_* Disallow: /checkout_* Disallow: /create_* Da fehlt jetzt die account.php, aber Prinzip dürfte ja klar sei.
Das halte ich jetzt nicht für ein ehrliches Problem. Ja, das ist eine Auflistung von Seiten die es gibt. Unfraglich. Es ist aber auch ziemlich easy durch einfaches Crawling genau so eine Liste selbst aufzubauen. Das sind eben 2 mins mehr oder weniger, und das ist in einem guten Angriffsplan dann der kleinste Posten. Und: Die Seiten haben für alle relevanten Einsprungpunkte auch jeweilig Schutzfunktionen. Die müssen sie sowieso haben, weil die unbestreitbar und schon immer leicht zu finden waren. Es ging nie ohne. Es mag ja ein paar Jahre her sein, dass ich in meinem Informatik Studium IT Security belegt hab, aber das hier halte ich für eine Mücke im Porzellanladen. Soll mir erstmal jemand zeigen wie die ne Tasse runterwirft.
Kann man denn über diesen Weg überhaupt eine Schaden anrichten, oder etwas auslösen, außer dass das Postfach vollgemüllt wird? Hier noch mal die 35 "Anmerkungen", die jeweils mit der Mail mittransportiert wurden. Oben die letzte, unten die erste. Ergibt sich da irgendein Sinn, eine Methode? @@teYEK 1'" 555'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||' 555*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15) w7SmAKxm')) OR 75=(SELECT 75 FROM PG_SLEEP(15))-- 3xNWOuaP' OR 898=(SELECT 898 FROM PG_SLEEP(15))-- -1)) OR 637=(SELECT 637 FROM PG_SLEEP(15))-- -5) OR 892=(SELECT 892 FROM PG_SLEEP(15))-- -5 OR 15=(SELECT 15 FROM PG_SLEEP(15))-- PEbg9KHZ'; waitfor delay '0:0:15' -- 1 waitfor delay '0:0:15' -- -1); waitfor delay '0:0:15' -- -1; waitfor delay '0:0:15' -- (select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/ 0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z 0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z if(now()=sysdate(),sleep(15),0) -1" OR 3*2>(0+5+140-140) -- -1" OR 3*2<(0+5+140-140) -- -1" OR 3+140-140-1=0+0+0+1 -- -1" OR 2+140-140-1=0+0+0+1 -- -1' OR 2+874-874-1=0+0+0+1 or 'TwMVsw0X'=' -1' OR 3*2>(0+5+233-233) -- -1' OR 3*2<(0+5+233-233) -- -1' OR 3+233-233-1=0+0+0+1 -- -1' OR 2+233-233-1=0+0+0+1 -- -1 OR 3*2<(0+5+713-713) -1 OR 3+713-713-1=0+0+0+1 -1 OR 2+713-713-1=0+0+0+1 -1 OR 2+135-135-1=0+0+0+1 -- 555 555 555 555 555
Was da jemand versucht ist wild Code ins Formular zu packen. Es ist Sache des Shops dafür zu sorgen, dass der Code eine reine Texteingabe bleibt und nicht zur Ausführung gelangt. Das wird für alle möglichen Eingabefelder immer wieder überprüft, durch uns und externe, die wir entweder beauftragen einen Audit zu machen, oder falls wirklich mal etwas gefunden wird auch mal durch eine Meldung von irgendwo extern. Wenn da etwas bekannt wird, irgendwie, reagieren wir dann zügig mit einem Security Update. Aktuell wäre nichts bekannt oder auf dem Weg. Das heisst nach bestem Gewissen: Man kann durch wiederholte Versuche sicher dein Postfach entsprechend zumüllen, aber keinen Schaden anrichten.
Die Idee finde ich gut. Gar nicht mal für Angreifer, sondern um die robots.txt übersichtlicher zu haben. Das wäre deutlich aufgeräumter Da (meiner Meinung nach) nichts mit "account" oder "checkout" gecrawlt werden sollte, könnte man den Unterstrich auch weglassen. So sollte doch auch die account.php einbezogen werden.
Nochmal eine andere Frage in dem Zuge Konto löschen... Warum muß ich das machen und kann der Shop nicht selber?? Kenn ich von anderen Shops so..., aber sicher habe ich was übersehen... Schönes Wochenende
Bei Einstellungen > Kunden > Löschen von Gastkonten machst einen Haken, dann werden die Gastkosten nach erfolgter Bestellung gelöscht.
@Klaiber Michaela @secuware24 : Wusste ich nicht- Danke bin bind..... Danke :-D Schön dass es so eine tolle Gruppe zum Austausch gibt :-*
Danke für den tollen Ticket Support GX4 Testshop ist bald durchgetestet und angepasst, sodass der GX3 Shop upgedatet werden kann. Immer alles im Weihnachtsgeschäft Nachtrag: Sogar mein guter alter GX3 hat die Funktion im Admin-Center unter Einstellungen > System die Option "Sicherheitsabfrage in Account-Erstellung anzeigen?", damit nicht mehr unkontrolliert Konten in dem Shop erstellt werden können. Laut Ticket Support hätte mein alter GX3 Shop es nicht, aber es funktioniert auch dort einwandfrei und habe wohl erstmal Zeit, den GX4 Shop in Ruhe nach Weihnachten upzudaten