Paris Hilton Bug XSS SQL Injections Session Stealing File Inclusion Technikausblick Literatur

1. > > webHacks am Beispiel PHP & MySQL Referent: Torben Brodt Datum: 26.03.2009 Veranstalter: plista.com GmbH

3. Paris Hilton Bug

4. XSS

6. Paris Hilton Bug

7. XSS

8. SQL Injections Referent: Torben Brodt Datum: 26.03.2009 Veranstalter: plista.com GmbH

10. Aktuelle Lücken in Websoftware, siehe Graph [1]

11. Oft in Kombination genutzt 1 /8

13. Dieser lässt sich mit einfacher

14. Google Recherche herausfinden

15. Mangelndes Sicherheitsbewusstsein

16. gibt es sowohl auf Konsumenten

17. als auch auf Endkunden-Seite

18. Beispiele u.a. Paymentanbieter 2 /8

20. Angreifer manipuliert Webseite mit Client-Script (JS,...)

21. z.B. durch search.php?q=<img src=”paris...” />

22. Nutzen? Session ID kann ausgelesen werden – dadurch kann Person2 die Identität annehmen

25. Dort kann davon ausgegangen werden dass der benutzer noch angemeldet ist

26. Beispiel: studivz gruppenseite verlinkt auf eigene Seite – und wird von dort zurück geleitet

29. Beispiel: Produktkatalog 4 /8 $res = mysql_query('SELECT titel FROM category WHERE name = ”'.$_GET['q'].'”'); while($row = mysql_fetch_array($res)) { printf(&quot;<li>%s</li>&quot;, $row['titel']); } katalog.php?q=” UNION SELECT password AS titel FROM users WHERE ”a” = ”a $res = mysql_query(...WHERE name = ”'.mysql_real_escape_string($_GET['q']).'”'); while($row = mysql_fetch_array($res)) { printf(&quot;<li>%s</li>&quot;, $row['titel']); } SAFE

31. Beispiel: Produktkatalog (mit Integer) 4 /8 $res = mysql_query('SELECT titel FROM category WHERE id = '.mysql_real_escape_string($_GET['q'])); while($row = mysql_fetch_array($res)) { printf(&quot;<li>%s</li>&quot;, $row['titel']); } katalog.php?q=0 UNION SELECT password AS titel FROM users $res = mysql_query('SELECT titel FROM category WHERE id = '.intval($_GET['q'])); SAFE

33. Wäre die 10 eine austauschbare Variable könnte man die Aktion durch ” 1 OR 1 ” für alle übernehmen 4 /8 mysql_query('UPDATE user SET newsletter = '.$_REQUEST['news'].' WHERE userid = 10'); newsletter.php?news=0,pwd=(SELECT pwd FROM user WHERE userid=1)

35. Angreifer gestaltet damit speziellen Link. Diesen lässt er dem Opfer zukommen.

36. Opfer verwendet Link, um zur Anwendung zu gelangen. Meldet sich an.

37. Anwendung übernimmt Sessionkennung und ordnet dieser den korrekt Login zu

40. Dadurch wird der Regex passiert, aber der Dateiname im Filesystem wird abgeschnitten 6 /8 if(preg_match('/(png|gif|jpg)$/', $_FILES['img']['name'])) { move_uploaded_file($_FILES['img']['tmp_name'], 'upload/'.$_FILES['img']['name']); echo &quot;upload success&quot;; } … POST Request Manipulation Content-Disposition: form-data; name=&quot;img&quot;; filename=&quot;hack.php.png&quot; Content-Type: image/jpeg Content-Transfer-Encoding: binary

42. Vorsicht durch Versionsunterdrückung.

44. onion ring network (tor)

45. remote login (vpn)

47. Diskussion + Fragen + Erfahrungen 7 /8

49. [2] http://www.easy-coding.de/php-und-sicherheit-teil-1-sessions-t6000.html

50. [3] http://www.erich-kachel.de/