«
»

Kunden Abwerben

Gerade habe ich eine Email von einem unserer Kunden erhalten.
Sehr lustig – scheinbar hat doch mal jemand den Uralt-Code auf die Probe gestellt.

Von: XXXXXXXXXXX
Gesendet: Mittwoch, 29. April 2009 16:15
An: XXXXXXXXXXX
Betreff: Hinweis wg. Sicherheitslücken in Ihrem Shop
Sehr geehrte Damen und Herren,
durch Zufall sind wir auf Ihren Shop gestossen und möchten Sie auf eine Sicherheitslücke aufmerksam machen.
Bei Ihrer Webseite werden die Parameter über die Adresszeile übergeben.
Beispiel:

http://XXXXXXXXXXX/index.php?page=pages/html/impressum.html

Wenn man nun das pages/html/impressum.html entfernt und durch index.php ersetzt, dann läuft er in eine Endlosschleife.
Das bedeutet: Ihr Shop stürzt ab.
Probieren Sie es aus und rufen folgende Adresse auf:

http://XXXXXXXXXXX.de/index.php?page=index.php

Sie werden sehen, anstatt des Shops sehen Sie nur dass ewig geladen wird.
Macht man das nun mehrmals pro Minute ist Ihre Webseite auch für andere Kunden nicht mehr erreichbar.
————————————-
Desweiteren werden Daten von Extern ungeprüft an das Scipt weiter geleitet.
Rufen Sie einfach mal folgende Adresse auf:

http://XXXXXXXXXXX/index.php?page=pages/php/main_order.php&angebot_id=5′;%20delete%20*%20%20from%20tabelle123;%201&prepaid=13ddd

Sie werden sehen es erscheint ein Fehler:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:\ftp\XXXXXXXXXXX\inc\class\db.class.php on line 63
Ich gehe mal davon aus, das man mit ein wenig rumprobieren die komplette Tabellen und Produkte löschen könnte.
Unter Programmierern nennt man dies SQL Injection.
Bitte leiten Sie diese Email an den entsprechenden Ansprechpartner weiter.
Bei Fragen zum Thema Internetsicherheit stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen
XXXXXXXXXXX
Firmeninhaber, Leiter der Entwicklungsabteilung
XXXXXXXXXXX

Was ich wirklich gut finde – der Herr der Entwicklungsabteilung kommt aus dem gleichen Dorf wie der Kunde.
Macht wohl etwas Abwerbung – den Kunden kann er gerne haben.
Webseite von vor 2 Jahren – will keine Updates – alles neue umsonst – liebling der Salami-Technik usw…
Die richtig krassen Fehler hat er noch garnicht gefunden – hehe
Naja hab mal 5 Zeilen Code reingeworfen die das Problem “beheben”.
  1. if ($d)
  2.      die();
  3. $d = true;
  4. foreach ($_GET as $key => $value) {
  5.      $_GET[$key] = str_replace ("’",, $_GET[$key]);
  6. }

Ach geil – is schon Feierabend.

This entry was posted on Wednesday, April 29th, 2009 at 17:26:17 and is filed under Arbeit. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken.

Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.

Da einige von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei Ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Menschen schützt.

Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.

Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.
Quelle: http://www.gesetze-im-internet.de/urhg/__95a.html