Verdacht auf Versuch mit SQL-Injections

Gollum

Gollum

Loswetten.de
ID: 96060
L
20 April 2006
2.327
188
Hi,

ich habe seit gestern dass jemand "sinnlose" Tickets erstellt, die für mich nach einem Versucht mit SQL-Injections aussieht:



Nun Frage ich mich ob ich mich mit meinem Verdacht Recht habe bzw. ob ihr daran seht ob derjenige Erfolg hatte. Meiner Meinung nach müssten meine Skripte entsprechend abgesichert sein.

Gruß Gollum
 
Sieht mir nach WebCruiser aus ...

Edit: Mit den zu sehenden Abfragen war die Injection nicht erfolgreich, denn die Abfragen wurden ja als String eingetragen und nicht ausgeführt :)
Ob es noch andere Abfragen gab, die durchkamen, weiß ich natürlich nicht.
 
Helo schrieb:
Edit: Mit den zu sehenden Abfragen war die Injection nicht erfolgreich, denn die Abfragen wurden ja als String eingetragen und nicht ausgeführt :)
Zum Vergrößern anklicken....
Muss nicht sein. Du weißt ja nicht, was das Script tut. Das sollte Gollum selber am besten wissen.

Theoretisch kann der Benutzer von einem Loginversuch abgespeichert werden (= Screenshot) und die Injection, weil der Code nicht sicher is, trotzdem Erfolg haben.

:arrow: Code lesen, der die Daten auf dem Screenshot in die DB schreibt und eben gucken, ob man die Stelle ordentlich programmiert hat oder nicht ;)

In einem Forum nachzufragen, ohne den kompletten Source der ganzen Seite zu posten, bringt nicht wirklich was, weil niemand eine fundierte Aussage treffen kann. .... Ja, man muss wirklich selber programmieren - wie jetzt mein ehemaliger Professor sagen würde :p
 
theHacker schrieb:
Muss nicht sein. Du weißt ja nicht, was das Script tut.
Zum Vergrößern anklicken....

Da hast du natürlich Recht, an die Möglichkeit, dass noch weitere Abfragen ausgeführt werden (außer der INSERT) oder, dass noch folgender Code nach dem sichtbaren eingeschleust wurde habe ich gar nicht gedacht :(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben