na da bin ich ja mal gespannt. aber generell: Wer mit gefundenen sicherheitslücken nur Kohle machen will ist echt Krimineller abschaum....
ja aber wer halt wirklich sicherheitslücken findet und die ausnutzt um dich im Grunde zu erpressen und oder zu besteheln..... das halt kriminell. andere die Lücken finden machen die Lücke bekannt oder melden sie den Programmieren und nutzen die nicht um Kasse zu machen. aber egal. mal gespannt was bei rauskommt....
customer_status beim Admin ist bei mir auch eine 0, und als Admin steht bei customer_added_date das gleiche Format, wie es Manfred im Screen hat (also lauter Nullen)
Die admin_access sagt nichts darüber aus, ob der Kunde admin ist. Sondern definiert, welche Funktionen ein Admin ausführen darf ("1").
Das ist merkwürdig, weil in "create_account.php" mit PHP: 'customers_date_added' => 'now()' das Datum auf den aktuellen Wert gesetzt wird. In "create_guest_account.php" fehlt dieser Eintrag, so dass die Nullen dort erklärlich sind.... Du verwendest ja noch eine ältere Version, evtl. fehlt das dort noch....
Ich habe den SQL-Injection-Filter noch etwas verbessert, indem ich auch den String "/*" als Anzeichen dafür nehme und dann den Parameter verwerfe.
Das Loch für die "SQL-Injection" ist jetzt auch gefunden: so wie es aussieht, habe ich das eröffnet. Im Vertrauen darauf, dass die diversen Filter solche Dinge entfernen, hatte ich den "GET"-Parameter ohne weitere Filterung verwendet. Im Standard-Gambio-Code wird der durch ein "(int)" durchgängig in eine Zahl verwandelt (das SQL also entfernt), so dass es da kein generelles Problem gibt. Insofern ist (zumindest bei diesem Angriff) Entwarnung für Gambio GX2 angesagt!
Da wären wir wieder bei den 3. Anbieter Modulen gelandet. Fragt sich aber warum jemand mit sowas kasse machen will. kann mir nicht vorstellen das das das erste mal war das er Websites gehackt hat incl. Datenklau zu beweiszwecken.
Oder bei einer mangelhaften Filterung... Aber ich denke, dass es weniger um "Schuldzuweisungen" gehen sollte, sondern um Absicherung gegen solche und ähnliche Attacken. Und gegen nachlässige Programmierer hilft eine zentrale Filterung. Auch Du unterlagst ja der (irrigen) Ansicht, dass z.B. der GProtector so was erkennen würde.... http://www.gambio-forum.de/threads/...cherheitslücke?p=114336&viewfull=1#post114336 Nun, der Herr Nadir hätte durchaus auch massiven Schaden anrichten können. z.B. die DB löschen. Er ist also noch einer von der freundlicheren Sorte...
Guten Morgen! Das bedeutet, Grund ist eine spezielle Erweiterung, die nur Achim in seinem Shop im Einsatz hat bzw. hatte? Das ein oder andere Modul habe ich auch aus Avenger's Hand bei mir im Einsatz, z. B. "On the fly" Artikel-Bilder. Da muss ich mir dann aber keine "Sorgen" machen?
Oh Avenger, das solte keine Schuldzuweisung an dich sein. Sorry - Das war nur weil 3. Anbieter Module eben nicht geprüft werden wie die Aussage von GM eben dieses ja sagte dass 3. Anbieter selbst dafür sorgen müssten. Wer Schuld hat is ja auch kein Thema. Wichtig ist das geprüft wird wie man das generell in Zukunft verhindern kan ohne das System dadurch zu verlangsammen oder zu sehr aufzublähen.
Und das halte ich immer noch für ein schlechtes Konzept... Es wird ja schon alles mögliche geprüft, im GProtector und im Input-Filter. Warum also nicht auf die SQL-Injections?
Ich habe mir mal den GProtector zu Gemüte geführt, um zu sehen, was der eigentlich tut. Die große Überraschung (wenn mich nicht alles täuscht ): der untersucht nur Parameter von Programmen aus dem Admin-Bereich..... Das ist die Liste der Module, deren Parameter auf Unregelmäßigkeiten geprüft werden PHP: admin/accounting.phpadmin/backup.phpadmin/banner_manager.phpadmin/banner_statistics.phpadmin/blacklist.phpadmin/campaigns.phpadmin/categories.phpadmin/clear_cache.phpadmin/configuration.phpadmin/content_manager.phpadmin/countries.phpadmin/coupon_admin.phpadmin/coupon_manager.phpadmin/create_account.phpadmin/cross_sell_groups.phpadmin/csv_backend.phpadmin/currencies.phpadmin/customers.phpadmin/customers_status.phpadmin/econda.phpadmin/ekomi.phpadmin/geo_zones.phpadmin/gm_backup_files_zip.php.phpadmin/gm_ebay.phpadmin/gm_emails.phpadmin/gm_feature_control.phpadmin/gm_gmotion.phpadmin/gm_gprint.phpadmin/gm_guestbook.phpadmin/gm_logo.phpadmin/gm_meta.phpadmin/gm_miscellaneous.phpadmin/gm_module_export.phpadmin/gm_module_part_export.phpadmin/gm_offline.phpadmin/gm_opensearch.phpadmin/gm_product_export.phpadmin/gm_scrolleradmin/gm_security.phpadmin/gm_sitemap.phpadmin/gm_slider.phpadmin/gm_statusbaradmin/gm_trusted_shops_id.phpadmin/gm_trusted_shops_widget.phpadmin/gv_mail.phpadmin/languages.phpadmin/lettr_de.phpadmin/magnalister.phpadmin/mail.phpadmin/manufacturers.phpadmin/mediafinanz.phpadmin/module_export.phpadmin/module_newsletter.phpadmin/modules.phpadmin/nc_clickandbuy.phpadmin/orders.phpadmin/orders_editadmin/orders_edit.phpadmin/orders_status.phpadmin/paypal.phpadmin/popup_memo.phpadmin/products_attributes.phpadmin/products_vpeadmin/products_vpe.phpadmin/properties_combis.phpadmin/quantity_units.phpadmin/shipping_status.phpadmin/show_logs.phpadmin/specials.phpadmin/stats_campaigns.phpadmin/stats_sales_report.phpadmin/tax_classes.phpadmin/tax_rates.phpadmin/template_configuration.phpadmin/yatego.phpadmin/yoochoose.phpadmin/zones.php D.h., dass es wenig Sinn macht, den im Frontend überhaupt auszuführen (zumindest diese Filterung), kostet eigentlich nur sinnlose Zeit.... Was evtl. auch an der Stelle Sinn macht ist die Prüfung auf blockierte IPs... Wobei die IPs m.E. aber relativ wenig Sinn machen, da normale User sowieso jeden Tag eine neue haben, und die "bösen Buben" sich i.d.R. hinter wechselnden Anonymisierungs-Servern verstecken.
Der Input-Filter prüft die Parameter auf das Vorhandendsein einiger HTML-Tags, die evtl das Einschleusen von Javaskripten ermöglichen würden, und entfernt diese falls notwendig. PHP: var $tagBlacklist = array ('applet', 'body', 'bgsound', 'base', 'basefont', 'embed', 'frame', 'frameset', 'head', 'html', 'id', 'iframe', 'ilayer', 'layer', 'link', 'meta', 'name', 'object', 'script', 'style', 'title', 'xml'); var $attrBlacklist = array ('action', 'background', 'codebase', 'dynsrc', 'lowsrc'); // also will strip ALL event handlers Wobei der im Admin-Bereich gar nicht angewendet wird....
blockierte IPs ziehelen wohl eher auf die Server ab die für spider und co missbraucht werden. Allerdings sollte man da mal ne Config seite machen das man ne IP für eine bestimmte zeit eintragen kann. schnell und einfach eben.
Hallo an Alle, ich war gerade bei einer Kundin im Shop habe da folgende Beobachtung gemacht bei wer ist Online. Zur Zeit etwa 1200 Besucher Online. Über die IP Adresse 176.9.104.38 werden folgende Aufrufe gemacht. Code: login.php?XTCsid=7b26b0be347eafcde20c1c66421fdf7d%27+AND+(SELECT+8041+FROM(SELECT+COUNT(%2A),CONCAT(0x3a6f79753a,(SELECT+(CASE+WHEN+(8041%3D8041)+THEN+1+ELSE+0+END)),0x3a70687a3a,floor(rand(0)%2A2))x+FROM+INFORMATION_SCHEMA.CHARACTER_SETS+GROUP+BY+x)a)+A login.php?XTCsid=7b26b0be347eafcde20c1c66421fdf7d+-6863+union+all+select+1,CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a)%23 login.php?XTCsid=7ad76c853f72216a6258e0de2eb5a839+%27-6863+union+all+select+CONCAT(0x3a6f79753a,0x4244764877697569706b,0x3a70687a3a),1,1,1,1,1,1,1,1,1%23 Was soll das denn jetzt?