Das ist wieder ein Versuch einer SQL-Injection... Wobei ich mir allerdings nicht vorstellen kann, dass der funktioniert, denn der "XTCsid"-Parameter wird m.W. nie als Wert einer SQL-Abfrage verwendet.
na da sucht wohl einer nun alle shops ab muss wohl doch mal bei uns wieder dieses teil installieren das zu viele abfragen der selben IP autom. blockt...
Läuft deine Filterung nun einwandfrei Avenger...? Die letzte Version einfach wohin schieben, damit sie installiert ist...?
Wer seine Seite mal etwas testen möchte, bekommt hier ein Tool das gar nicht so schlecht ist! https://www.netsparker.com/communityedition/
Da hast Du mich auf eine Idee gebracht.... Ich habe den SQL-Injection-Filter so erweitert, dass er im Fall einer erkannten SQL-Injection die IP des Angreifers in die Blacklist des GProtectors schreibt, so dass der gar keinen Zugriff mehr hat....
sollte aber wohl besser nur für 24h sein. nicht das es ein script-kiddy war und später ein Kunde die IP zugewiesen bekommt.
Gut dass die Lücke endlich identifiziert ist. Bleibt das Problem, dass wir als Shopbetreiber individuelle Anpassungen von Dritten einsetzen wollen (bzw. für so manches Geschäftsmodell auch müssen), und das möglichst ohne Sicherheitsrisiko. Und deshalb möchte ich hier Avengers Philosophie aus der Sicht von Shopbetreibern mit weniger Programmierkenntnissen nochmal ausdrücklich unterstützen: Ich hatte mich weiter oben ja schon ähnlich geäußert, dort hatte mir Dennis geantwortet: Das ist alles richtig, und ich stimme Dennis da auch 100% zu. Trotzdem ist es am Ende unser Problem als Shopbetreiber. Entweder sind solche Erweiterungen von vornherein sicher oder wir als Shopbetreiber müssen das beurteilen können, ob wir eine Erweiterung einsetzen können oder nicht. Und dabei würde ich mir als Gambio-Kunde schon etwas mehr Unterstützung vom Gambio-Team wünschen. Toll, dass ihr so etwas wie den G-Protector eingebaut habt, aber erklärt mir doch bitte, was der tut bzw. nicht tut, und wo ich dann trotzdem noch aufpassen muss. Das Gambio-Handbuch verrät mir zu diesem Thema nämlich genau so viel: Wie das mit der Update-Sicherheit von solchen Drittanbieter-Erweiterungen am besten klappt, wird ja auch groß hier im Forum ausgebreitet und (zurecht!) als großes Feature von Gambio dargestellt. Ich würde mir wünschen, zu den Themen Sicherheit* von Erweiterungen mehr im Handbuch** zu finden als jetzt, so dass auch wir Shopbetreiber besser beurteilen können, ob eine Drittanbieter-Erweiterung sicher ist oder nicht.*** Entweder euer Shopsystem ist leicht und sicher anpassbar, oder es ist nicht leicht anpassbar. Ich würde mich über eine Rückmeldung von Gambio zu dieser Frage sehr freuen. Grüße Johannes *) Das gilt auch für das Thema Update-Sicherheit, da steht momentan auch gar nichts dazu im Handbuch. Aber Sicherheit wäre natürlich noch viel wichtiger als Update-Sicherheit. **) Besser im Handbuch, weil ich nur dort sicher sein kann, alles Relevante gelesen zu haben. Bei verstreuten Forums-Einträgen ist das nicht der Fall, selbst bei fleißigen Forums-Lesern wie mir. ***) Ich sehe das natürlich auch, dass das in der Realität sicher nicht so einfach ist, aber vielleicht gebt ihr uns wenigstens mal eine kurze Anleitung (im Handbuch!), bei welchen Sachen man aufpassen muss - Wie man in Gambio Datenbankzugriffe umsetzt und Nutzereingaben filtert z.B. - solche Funktionen gibt es ja, nur kennt die ein normaler Shopbetreiber eben nicht, wenn sie nicht im Handbuch stehen. xtc_db_input usw. ...
Man muss doch nicht immer alles gross und breit erklären, da 99,9% eh nicht verstehen was da so ein Teil wirklich macht oder wie es funktioniert! Und wenn da steht: ist doch alles gesagt was der normale Betreiber wissen sollte. Ich möchte die Sache nicht runterspielen aber im Endeffekt war es ein simpler Prüfungsfehler! Davor ist keiner geschützt! Kann wirklich jeden passieren! Und mit jedem, meine ich auch mich! Habe genau diesen Fehler in der neuen Blog V3 drin gehabt! Nur einmal aber es war so! Ok, diesmal hatte ich vieleicht etwas Glück aber den 100%igen Schutz gibts ja eh nicht! Aber was kann man tun? Wohin wendet man sich wenns dann doch knallt??? Ich würde mir hier im Forum einen abgeschirmten Bereich wünschen, wo Entwickler und GM ohne Öffentlichkeit so eine Art Security-Allianz betreiben wo sich Shopbetreiber hinwenden können ohne jedesmal mit solch einem Fred einen riessen Tumult hervorzurufen! Nicht das ich jemanden was vorenthalten möchte aber man braucht garantiert keine Megaspekulationen oder Drahmatika über Sicherheitslücken usw. In der Vergangenheit hat sich diese Arbeitweise, es etwas verdeckt zu analysieren und zu beheben, durchgesetzt und auch ausgezeichnet! Wenn ein Verdacht besteht und man es jedesmal so umfangreich publiziert erhöht das die Gefahr um ein zig-Faches. Lieber solche Ankündigungen oder Tatsachen im Hinterstübchen lösen und dann publizieren. Damit schliesst man zig Trittbrettfahrer aus....
Ich sehe es ähnlich wie Steffen. In diesem Thread sind zahlreiche gute Ansätze enthalten, vieles geht aber auch unter und einiges ist auch nicht praktikabel umsetzbar. Ich sitze heute Nachmittag mit Nonito zu dem Thema zsuammen und werde anschließend hier berichten.
Eigentlich hast Du recht... Und brauchen tut man das auch nicht, weil der Filter die SQL-Injections ja wieder filtern wird....
Na ja, wie ich zuvor beschrieben habe, macht der GProtector im Frontend anscheinend gar nichts, außer evtl. (manuell zu pflegende) IPs zu blocken... Sicher kann man sagen "Ihr müsst selbst für Eure Sicherheit sorgen" (was ich von jetzt an auch sicher wieder akribisch tun werde). Aber mit der Aussage "Beim ‚G-Protector‘ handelt es sich um ein eigenständiges Modul zum Schutz vor Angriffen." hegt man doch gewisse Erwartungen, dass die gängigen Angriffe (SQL-Injections, XSS) abgesichert sind. Und warum der GProtector jetzt unbedingt den Admin-Bereich absichert, in dem man ohne Admin-Login keine Chance hat, etwas zu erreichen, verstehe ich auch nicht so ganz... Meine Meinung ist: was man zentral abfangen kann sollte man auch tun. Dann ist man hier unabhängig von der Qualität des Entwicklers.
Also der GProtector, der die IPs blockt, und der Input-Filter werden in der "application_top" kurz nacheinander ausgeführt... Serverlast hast Du auf jeden Fall. Und Deniis' Einwand, dass man u.U. Kunden unverdient blockiert, weil ein anderer ein paar Tage vorher mit seiner IP unterwegs war, ist schon valide....
Ja und was ist z.B. wie bei der Kundin heute früh, wo permanent über mehrere Stunden, mehr als 1000 Seitenaufrufe waren, da würde sich das doch lohnen, oder nicht?
und das ist kein Einzelfall, hatte ich auch schon. Da gabs hier mal den Fred "die Russen kommen".........
Nein, weil der Shop ja in beiden Fällen aktiviert werden muss, um den Block auszuführen. Ist ja kein htaccess-Block.
Mal eine Frage an die Profis: Seit wir den BotTrap einsetzen, haben wir solche komischen Aufrufe sehr, sehr selten. Ist das Ding eigentlich auch dafür geeignet solche SQL Angriffe zu blocken oder haben wir einfach nur Glück gehabt?