YourWBB


yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Ideen, Wünsche und Suche » SQL Injections im Lite 1 Absichern » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 2.632 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen
Dieses Thema wurde als unerledigt markiert. Thread unerledigt

Zum Ende der Seite springen SQL Injections im Lite 1 Absichern
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 783
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
 SQL Injections im Lite 1 Absichern Antworten Zitieren Editieren Melden       UP
Hallo Leute,

Ich hab jetzt Ferien/Urlaub wie mans nennen möchte und daher möchte ich diese Zeit endlich nutzen
um mal mein altes Lite 1 abzusichern. Zumindest mal anzufangen diverse Lücken zu schließen.

Eventuell könnt ihr mir helfen, ein Kumpel von mir meinte mal ich müsse in allen Datein nach einer bestimmten
Codestelle suchen und diese dann durch eine andere ersetzen. Leider hab ich den ICQ verlauf nichtmehr und kann nichtmehr nachschauen.

Eventuell könnt ihr mir helfen meine SQL Injections zu fixxen?
Ich würde auch gerne eine Anleitung dazu schreiben/dokumentieren und dann hier hochladen !

__________________
Lüge Zweckmäßige Übertreibung
17.07.12 22:29 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
mkkcs mkkcs ist männlich
Mitglied


images/avatars/avatar-5746.gif

Dabei seit: 06.10.04
Beiträge: 2.051
Fähigkeiten: WBB2 Profi; WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: aus Mamas Bauch
Forenversion: 2.3; 2.2
Antworten Zitieren Editieren Melden       UP
-> Diverse Bugfix/Sicherheitsupdates für das WBBLite

-> wbb lite 1.0.2 Updates des Burning Board Lite (inkl. Changelogs)

-> allgemeines wbb lite "codeschnipsel"-Brett

ansonsten solltest Du Dein lite aktuelle auf das 1.0.2 pl3 inkl. o.a. Bugfixes haben, dann solltest Du auch soweit Sicher sein.
Das kann ich nur für das Lite selber sagen, falls Du die div. Hacks und Addons eingebaut haben, solltest Du natürlich Dich bei den Hackerstellern/-supportern nachschauen, ob Diese auch aktuell sind.

__________________
LG Martin
-
grafix-board
http://www.wbbcoderforum.de
hat seine Tore wieder geöffnet!
Style-Einbau-Anleitung
WCF-News: mywbb goes to WCF
17.07.12 22:39 mkkcs ist offline E-Mail WWW Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 783
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3

Themenstarter Thema begonnen von S!equenz
Antworten Zitieren Editieren Melden       UP
was genau hat es mit invital und addslashes auf sich, dies scheinen ja die
änderungen zu sein und ich glaub mein kumpel hat auch was mit invital gelabert gehabt.

Und warum wurden sie genau da platziert ?

__________________
Lüge Zweckmäßige Übertreibung
17.07.12 23:32 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
mkkcs mkkcs ist männlich
Mitglied


images/avatars/avatar-5746.gif

Dabei seit: 06.10.04
Beiträge: 2.051
Fähigkeiten: WBB2 Profi; WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: aus Mamas Bauch
Forenversion: 2.3; 2.2
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von S!equenz
was genau hat es mit invital und addslashes auf sich, dies scheinen ja die
änderungen zu sein und ich glaub mein kumpel hat auch was mit invital gelabert gehabt.

Und warum wurden sie genau da platziert ?

weil intval macht aus einer Stringangabe wie z.B.: 1a => 1
somit werden jegliche SQL-Eingaben in Feldern wo eigentlich nur eine Zahl eingetragen werden soll auch eine Zahl als Ergebnis!

und bei addslashes werden alle Sonderzeichen wie ' mit einem / vorangestellt, und somit sind dann auch SQL-Anweisungen hinfällig und werden unwirksam.

wie so ein SQL jetzt aussehen kann werde ich nicht posten.

__________________
LG Martin
-
grafix-board
http://www.wbbcoderforum.de
hat seine Tore wieder geöffnet!
Style-Einbau-Anleitung
WCF-News: mywbb goes to WCF
18.07.12 00:37 mkkcs ist offline E-Mail WWW Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 783
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3

Themenstarter Thema begonnen von S!equenz
Antworten Zitieren Editieren Melden       UP
Und woran erkenne ich an welchen Stellen es sinn macht das zu platzieren ?

__________________
Lüge Zweckmäßige Übertreibung
18.07.12 00:45 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
mkkcs mkkcs ist männlich
Mitglied


images/avatars/avatar-5746.gif

Dabei seit: 06.10.04
Beiträge: 2.051
Fähigkeiten: WBB2 Profi; WBB2 Fortgeschritten; WBB Lite 1 Profi
Herkunft: aus Mamas Bauch
Forenversion: 2.3; 2.2
Antworten Zitieren Editieren Melden       UP
in allen SQL-Anweisungen die mit INSERT oder UPDATE anfangen, oder halt da wo ein $_POST oder ein $_REQUEST Wert eingefangen wird.

__________________
LG Martin
-
grafix-board
http://www.wbbcoderforum.de
hat seine Tore wieder geöffnet!
Style-Einbau-Anleitung
WCF-News: mywbb goes to WCF
18.07.12 02:11 mkkcs ist offline E-Mail WWW Finden Als Freund hinzufügen
Schrimm
Banned


Dabei seit: 21.08.11
Beiträge: 700
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von mkkcs
in allen SQL-Anweisungen die mit INSERT oder UPDATE anfangen...

Bei jeder SQL-Abfrage(Verbindung), sofern von "außen"(anderen Nutzern) etwas "änderbar" ist. Belehr

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Schrimm: 18.07.12 02:23.
18.07.12 02:22 Schrimm ist offline Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 783
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3

Themenstarter Thema begonnen von S!equenz
Antworten Zitieren Editieren Melden       UP
Dann sitz ich da ja wochenlang dran ???

__________________
Lüge Zweckmäßige Übertreibung
18.07.12 02:23 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
Schrimm
Banned


Dabei seit: 21.08.11
Beiträge: 700
Antworten Zitieren Editieren Melden       UP
Kommt drauf an...
Für einen Anfänger in Sachen wbblite dürfte es schon ziemlich schwierig sein die "richtigen Stellen" zu finden.

Lieber ein paar "intval()" und "addslashes()" zu viel setzen, als zu wenige. Augenzwinkern

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Schrimm: 18.07.12 02:33.
18.07.12 02:32 Schrimm ist offline Finden Als Freund hinzufügen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Ideen, Wünsche und Suche » SQL Injections im Lite 1 Absichern