Bernd schrieb:
Hi,
wir haben eine Webanwendung mit einem Tomcat entwickelt, in die User Daten eintragen können. Ist ein wissenschaftliches Projekt. Um uns vor SQL Injection zu schützen, habe ich eine GreenSQL Instanz davor, die jeden Query/Insert... erst prüft und dann ggf. weiterleitet oder verwirft. GreenSQL hat eigene Regeln um SQL Injection zu erkennen und zu verwerfen. Ich habe da als Administrator keinen Einfluß drauf, kann lediglich die SQL Injection ganz zulassen oder verwerfen. Auch an die dazugehörigen Regeln komm ich nicht ran. Ich kann aber selbst noch zusätzliche Regeln erstellen.
Jetzt würde ich das mal gerne testen, sprich eine SQL Injection versuchen. Ich habe mich mal ein bißchen hiermit beschäftigt: http://de.wikipedia.org/wiki/SQL-Injection . Hier scheint das immer so zu sein, daß an das Ende der übergeben URL ein weiteres SQL-Statement angehangen wird. Ich weiß aber doch gar, wie das eigentliche statement aussieht. Ich sehe zwar die Reihenfolge der übergebenen Werte hinter dem "?" in der URL (mittels tcpdump ermittelt). Aber ob die vom Tomcat auch in dieser Reihenfolge zu einem statement zusammengebastelt werden, kann ich nicht erkennen. Und mein zusätzliches, "böses" Statement muß doch am Ende des "guten" Statements hängen. Oder bin ich irgendwie auf dem falschen Dampfer ?
Hi, ich hab's geschafft. Ich habe in die URL mal testweise ein "update+pg_shadow+set+usecreatedb='t'+where+usename='green'" geschrieben, und GreenSQL hat das erkannt und geblockt. Das war total einfach. Immer, wenn ich mich mit Einbruchstechniken beschäftige, erschrecke ich, wie einfach diese oft sind. Muß man immer aufpassen. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org