Sicherheitslücke durch class_templates.inc?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheitslücke durch class_templates.inc?

    Ein herzliches Hallo an alle Php-Profis hier im Forum.

    Wie erbeten habe ich schon die FAQ´s und die Forensuche bemüht, aber leider keine Antwort auf meine Frage gefunden. Deshalb auf diesem Weg

    Mein Problem: mir wurde von einem Programmierer ein eigenes Php-Skript zur Verwaltung von Tierheimhunden geschrieben. Es läuft seit 3 Jahren unter www.cocker-hilfe.de (falls das wichtig ist unter Zuhause gesucht & Zuhause gefunden).

    Es besteht neben der paßwortgeschützten Verwaltung aus einer index.php (und 3 templates) zur Anzeige der Vermittlungshunde noch aus einer archiv.php (Anzeige des Archives).

    Seit ca. 6 Monaten verschwinden zusehens mehr Fotos (tgl. zw. 25 und 50 - aber NUR Fotos! Keine Daten). D.h. sie bleiben auf dem FTP, aber die Spalte in der Datenbank (wo der zugeörige Fotoname stehen sollte) ist leer. Die Verbindung wird gekappt. Momentan spiele ich mehrmals tgl. ein DB Backup ein.

    Die Fotoverbindung wird jedoch nur in der Vermittlung, nicht im Archiv gelöscht. Unterschied: die index.php (Vermittlung) includiert die class_templates.inc.

    Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?

    Ich bin für jeden Hinweis dankbar! Wenn noch zusätzliche Infos gebraucht werden, dann stehe ich für Fragen bereit!

    Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann! Aber die DB ist OK und das Archiv läuft ja!!

    Liebe Grüße
    Eine verzweifelte Bea.

  • #2
    Re: Sicherheitslücke durch class_templates.inc?

    Original geschrieben von beahar
    Meine Frage: Woran kann es liegen, daß aus heiterem Himmel und ohne Regeln diese Spalten in der DB geleert werden?
    An einem Fehler, oder einer von aussen ausnutzbaren Lücke.


    Wenn du im Titel die Frage
    Sicherheitslücke durch class_templates.inc?
    stellst, erwartest du dann wirklich von uns, dass wir dir, ohne auch nur das geringste bisschen vom Code gesehen zu haben*, auf die Frage, ob es an diesem Include-File liegt, mit Ja oder Nein antworten?

    Na gut, dann bekommst du die gewünschte Antwort:
    "Ja oder Nein."



    * Nein, das stellt selbstverständlich keine Aufforderung dar, uns jetzt den kompletten Code hier um die Ohren zu klatschen. Wende dich an deinen Entwickler, soll der sich das Problem anschauen und lösen.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      Vielen lieben Dank für die freundliche Antwort.

      Und wenn der Php-Entwickler das Problem lösen hätte können, hätte ich mich nicht hilfesuchend an Euch gewandt.

      Übrigens... wenn ich nicht lesen könnte, dann hätte ich den gesamten Code hier eingestellt! Aber: Gott sei Dank kann ich lesen (und es gibt ja entsprechend dazu informierenden Threat) und deshalb auch nicht der gesamte Code.

      Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.

      Kommentar


      • #4
        na wenn du php kannst versuch mal alle sql-query die die fotoss angehen zu loggen!

        Kommentar


        • #5
          Hi,
          Der Entwickler sagt übrigens, daß es nicht am Skript liegen kann!
          Ja ja, gib ihm 50 Cent, dann kann er das der nächsten Parkuhr erzählen...
          Hatte nur gedacht, daß jemand mir eine Stelle nennen kann, die von besonderem Interesse wäre ... z.B. wie sich Sicherheitslücken kundtun könnten.
          Das sollte der Entwickler können, sonst ist er ein Stümper. Vor allem, weil er den Code im Gegensatz zu uns kennt.
          Ich habe gerade mal auf die Seite geschaut. Die Get-Variablen werden komplett ungeprüft an die Datenbankabfragen übergeben!

          LG

          Kommentar


          • #6
            Ist ganz lieb von Euch, daß Ihr Euch meiner angenommen habt! Vielen Dank!

            Ich habe mir alles notiert und werde versuchen, mich darüber zu informieren. Ich kenne mich zwar mit php aus, weiß wie was aussieht und kann bestehende Dinge anpassen, aber ich bin kein Programmierer. Sonst käme das Skript ja von mir

            Freue mich aber, daß es nun doch am Skript liegt. Da besteht wenigstens ein kleiner Funke Hoffnung, daß das Problem lösbar ist.

            Kommentar


            • #7
              Hi,

              ich habe nicht gesagt, dass es daran liegt, nur dass das Script unsicher ist. Wenn Du PHP zumindest lesen kannst, dann such die Datenbankabfragen und befolge mal Jens' Rat, indem Du die Queries, die da generiert werden in eine Textdatei loggst. Wenn bei Dir täglich 50 Bildernamen aus der DB verschwinden, müsste da ja schnell eine Ursache zu finden sein. Informier Dich generell über SQL-Injections und wie man das vermeiden kann.

              Viel Erfolg

              Kommentar

              Lädt...
              X