SQL-Injection bei chCounter

Publiziert am 17. April, 2009 von tim

sqlinjection.jpg Was passiert, wenn man Nutzereingaben nicht genau prüft und darauf achtet das keine SQL-Befehle eingeschleust werden können, kann man bei chCounter sehen. Mit einem einfachen ” or ‘=’ ” (ohne die äußeren Anführungszeichen) als Name und Passwort kann man sich einloggen. Cashy und Tim haben auch schnell einen Fix präsentiert und somit kann man diese Lücke ohne großen Aufwand schließen.
Da kann man mal wieder sehen wie einfach doch Angriffe sind wenn man nicht die nötig Sorgfalt beim Programmieren walten lässt oder sich auf Dinge wie Magic Quotes verlässt.

Keine ähnlichen Beiträge

Dieser Beitrag wurde unter internet, security abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kommentarlinks könnten nofollow frei sein.