Welcome, Guest. Please login or register.
Did you miss your activation email?
May 27, 2012, 05:29:39 AM

Login with username, password and session length
Search:     Advanced search
Wollen Sie dem WebsiteBaker Team beitreten?
Nähere Informationen finden Sie unter hier und auf unserer neuen Webseite.
155555 Posts in 21715 Topics by 7737 Members
Latest Member: gx-world
* Home Help Search Login Register
Pages: [1]   Go Down
Print
Author Topic: Guestbook-Spam durch SQL-Injection?  (Read 18453 times)
phreeze66

Offline Offline

Posts: 2
« on: December 30, 2007, 09:23:29 PM »
Hallo

Ich habe eine erstaunlich Beobachtung zum Thema "Gästebuch-Spam" gemacht, die ich gerne mal zur Diskussion stellen möchte. Ich verwende eine etwas ältere 1.x Version des Gästebuchs (ich glaube 1.4) die ich auch schonmal um eine Captcha Funktion erweitert habe.

Ich habe das Gästebuch nochmal ein wenig erweitert, sodass eine Mail an mich gesendet wird wenn ein neuer Gästebucheintrag ´reinschneit. Über zwei Links kann ich den neuen Eintrag dann entweder direkt freigeben oder direkt löschen. Die Freigabe erfolgt über eine zus. Flagspalte in der xxxmod_guestbook Tabelle. Eine kurze Bemerkung über das neue Prozedere für die User über das Gästebuch - dann hab´ ich mich auf die Lauer gelegt ...

Nach wenigen Stunden hatte ich immer noch keine Mail erhalten und hatte schon Zweifel an meinem neu eingefügten Code, aber siehe da: In der xyzmod_guestbook Tabelle waren drei neue Spamversuche - zwar mit fehlendem Freigabeflag, aber immerhin. Die Schw**** machen das anscheinend teilweise über SQL-Injection!!! Darum konnte auch das Captcha, dass ich schon vor Monaten eingebaut hatte seine Wirkung nicht entfalten. Leider habe ich bei dem Hoster keinen Zugriff auf die Logs, und kann von daher nicht genau herausbekommen, woher die SQL-Injection-Attacke kommt ... hmm, vielleicht sollte ich wirklich mal wechseln ...

Übrigens hatte ich dann doch irgendwann einen Spammer-Eintrag per Freigabe-Mail erhalten, es gibt also doch noch ehrliche Spammer smiley

Meine Anregung an die WB-Entwickler: Sollte nochmal ein größeres NeuRelease vor der Tür stehen, das Injizieren von SQL unmöglich zu machen. Ich will gar nicht wissen, welche Tabellen in der Datenbank sonst noch manipuliert werden können (ich fürchte mal, theoretisch alle!).

So sehr ich OpenSource mag, hier zeigt sich leider der allergrößte Nachteil der Philosophie: Jeder kann in die Sources ´reinschauen und sich seine Lücken für mögliche Attacken ´raussuchen - bitte nicht falsch verstehen: Ich bin immer noch absoluter Fan von websitebaker, so schnell hatte ich noch nie eine CMS-gestützte Page online, aber vielleicht ist das ja ´ne Anregung für das offenbar in Planung befindliche "Ban-Modul", wenn die über SQL-Injection ´reinkommen, nützt die schönste Technik nix

Ich habe jetz mal die Tabelle umbenannt und alle Referenzen in den .php files auch. Mal sehen, ob die Müllmänner es schaffen irgendwie ein "SHOW TABLES" einzuschleusen ... dann hätte ich mal wieder verloren  sad

Kommt gut ins neue Jahr, alle miteinander!
Logged
Waldschwein
Guest
« Reply #1 on: December 30, 2007, 09:55:15 PM »
Hallo!

Hmm, ich kann es leider nicht nachvollziehen und weiß jetzt auch leider absolut nicht Bescheid, will nur ganz kurz sagen:
Guestbook ist ein Addon. Wink Vor allem die Versionen vor 2.0 sind sehr spamanfällig (wie es mit SQL aussieht weiß ich gar nicht). Aber Addons sind häufig nicht von den Core Entwicklern sondern von Benutzern entwickelt.
Wir sind gerade eifrig daran, alle Module zu organisieren. Eines der Hauptprobleme bisher war (und ist immer noch) leider, dass mehr oder weniger alles irgendwo im Forum herumschwirrt, und erstens eine Organisation gar nicht dadurch aufkommt (und damit viel sinnlose Arbeit getan wird) und zweitens niemand die Module richtig testen kann. Wir hoffen, dass das erste Quartal hier viel neues bringt und wir endlich auch einmal die Sicherheit auf unser Wappen schreiben können.  cool Soviel kann ich jetzt schon verraten: Es wird im Forum absolut keine Modulreleases mehr geben, nur noch offiziell durch die Teams freigegebene. Das ist natürlich erst hart zu hören für WB, aber man sieht ja (auch hier wieder leider), dass es kaum anders geht.
Mein Tipp: Warte ein paar Tage, nimm dann gleich die neue Gästebuchversion, und baue darauf auf.

Gruß Michael
Logged
phreeze66

Offline Offline

Posts: 2
« Reply #2 on: December 30, 2007, 10:11:33 PM »
Hi!

Hmm, klingt vernünftig, auch wenn es vielleicht hart ist. Ich kann´s gut verstehen. Vielleicht fühlt sich ja jemand der ein ähnliches Problem hat (und in der Lage ist logs bei seinem Hoster ´rauszuschreiben und die auch ansehen zu können) berufen, mal alle SQL-Statements zu loggen, damit man das evtl. Einfallstor erkennen kann. Es muss ja nicht sein, dass die Attacke über den Modulcode vom Guestbook kommt. Theoretisch kommt ja da jede "Montage" von SQL-Statements im gesamten Code in Frage. Der ausschlaggebende Punkt für den Spammer ist wohl eher, die Kenntnis über die DB-Schemata einer Webanwendung, wenn er weiss wie die Tabellen und Spalten in einer "Standardinstallatio n" heissen und irgendwo SQL-Injection geht, steht ihm natürlich alles offen.

Viele Grüße
Rolf
Logged
Pages: [1]   Go Up
Print
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2011, Simple Machines Valid XHTML 1.0! Valid CSS!
Impressum & Datenschutz | powered by WebsiteBaker. ©2004–2010 by Website Baker Org e.V. , all rights reserved | Legal Notice & Privacy Policy