http://tim-wilbrink.de Fri, 18 Jun 2010 09:05:03 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 http://tim-wilbrink.de/2009/04/sql-injection-bei-chcounter/ http://tim-wilbrink.de/2009/04/sql-injection-bei-chcounter/#comments Fri, 17 Apr 2009 07:50:29 +0000 tim http://tim-wilbrink.de/?p=408 Weiterlesen →]]> Was passiert, wenn man Nutzereingaben nicht genau prüft und darauf achtet das keine SQL-Befehle eingeschleust werden können, kann man bei chCounter sehen. Mit einem einfachen ” or ‘=’ ” (ohne die äußeren Anführungszeichen) als Name und Passwort kann man sich einloggen. Cashy und Tim haben auch schnell einen Fix präsentiert und somit kann man diese Lücke ohne großen Aufwand schließen.
Da kann man mal wieder sehen wie einfach doch Angriffe sind wenn man nicht die nötig Sorgfalt beim Programmieren walten lässt oder sich auf Dinge wie Magic Quotes verlässt.

]]> http://tim-wilbrink.de/2009/04/sql-injection-bei-chcounter/feed/ 0