php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > BRAINSTORMING PHP/SQL/HTML/JS/CSS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


BRAINSTORMING PHP/SQL/HTML/JS/CSS Ihr habt eine Idee, aber keinen genauen Ansatz? Diskutiert mit anderen Usern des Forums über eure Gedankengänge um evtl. hilfreiche Ideen zu bekommen!
Normale Fragen bitte weiterhin in die entsprechenden Foren!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 04-06-2004, 09:47
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard Angriff auf SQL-Datenbank ...

Hallo an alle!

Auf die SQL-Datenbank eines unserer Kunden werden seit heute morgen "Angriffe" gestartet. Wahrscheinlich ist es so, dass der Angreifer ein Programm benutzt, welches die Website des Kunden besucht, in die Eingabefelder auf dieser Website seinen (der Angreifer) eMail-Adressenbestand eingibt und die Seite dann ausführen lässt. Dadurch werden Einträge in einer Tabelle gemacht und dem "Interessenten" eine eMail mit dem Bestätigungslink verschickt (was ja korrekt ist, wenn ein "richtiger" Interessent sich anmeldet).

Was für Möglichkeiten habe ich jetzt, den Angreifer abzuwehren??

Danke im Voraus.

Innuendo
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 04-06-2004, 10:05
Titus
 PHP Master
Links : Onlinestatus : Titus ist offline
Registriert seit: Jan 2001
Ort: im Rodgau
Beiträge: 4.292
Titus ist zur Zeit noch ein unbeschriebenes Blatt
Lightbulb

flooding Sperre ... und das geht so (z.B.)

1. E-Mail erstmal mit IP und Uhrzeit in die DB eintragen (Flag bearbeitet = 0)
2. per cron oder so:
wenn von einer IP innerhalb einer bestimmten Zeit soundsoviele Submissions kamen, alle weg.
3. alle anderen, die ein bestimmtes Alter erreicht haben, bearbeiten
__________________
mein Sport: mein Frühstück: meine Arbeit:

Sämtliche Code-Schnipsel sind im Allgemeinen nicht getestet und werden ohne Gewähr auf Fehlerfreiheit und Korrektheit gepostet.
Mit Zitat antworten
  #3 (permalink)  
Alt 04-06-2004, 10:22
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

zu 1.: Es sind aber ständig sich wechselnde Adressen.

zu 2.: Es lässt sich keine IP aufzeichnen. Die einzige IP, die ich aufzeichen kann (und auch aufzeichne) ist die des Servers, auf dem die Seiten liegen.
Mit Zitat antworten
  #4 (permalink)  
Alt 04-06-2004, 10:51
Wurzel
 Master
Links : Onlinestatus : Wurzel ist offline
Registriert seit: Jul 2002
Ort: double-u-upper-valley
Beiträge: 7.477
Wurzel ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ergänz doch das eingabeformular mit einem lustigen bildchen, das
einen einmalcode abbildet (auf einem karierten hintergrund) ... ein
zusatzfeld in das formular für die code-eingabe und gut ist.
__________________
Kissolino.com
Mit Zitat antworten
  #5 (permalink)  
Alt 04-06-2004, 11:03
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

Zitat:
Original geschrieben von Wurzel
ergänz doch das eingabeformular mit einem lustigen bildchen, das
einen einmalcode abbildet (auf einem karierten hintergrund) ... ein
zusatzfeld in das formular für die code-eingabe und gut ist.
Für den weiteren Anmeldeablauf eine gute Idee. Ob die momentanen Angriffe damit abgewehrt werden können: Fraglich.
Mit Zitat antworten
  #6 (permalink)  
Alt 04-06-2004, 11:05
Wurzel
 Master
Links : Onlinestatus : Wurzel ist offline
Registriert seit: Jul 2002
Ort: double-u-upper-valley
Beiträge: 7.477
Wurzel ist zur Zeit noch ein unbeschriebenes Blatt
Standard

warum?
... keine codeeingabe ... kein eintrag
... falsche codeeingabe ... kein eintrag

... kein eintrag ... keine mail, keine weitere aktion, kein stress.
__________________
Kissolino.com
Mit Zitat antworten
  #7 (permalink)  
Alt 04-06-2004, 11:21
Titus
 PHP Master
Links : Onlinestatus : Titus ist offline
Registriert seit: Jan 2001
Ort: im Rodgau
Beiträge: 4.292
Titus ist zur Zeit noch ein unbeschriebenes Blatt
Lightbulb

Ist karierter Hintergrund nicht ein bisken einfach?
Ich würd mit verschiedenen Farbtönen arbeiten.

Auf jeden Fall drauf achten, dass der Code nicht in der Bild-URL vorkommt!
In der Session speichern halt ich für ne sinnige Idee.
__________________
mein Sport: mein Frühstück: meine Arbeit:

Sämtliche Code-Schnipsel sind im Allgemeinen nicht getestet und werden ohne Gewähr auf Fehlerfreiheit und Korrektheit gepostet.
Mit Zitat antworten
  #8 (permalink)  
Alt 04-06-2004, 11:31
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

Danke für den Tipp. Ich muss das jetzt sowieso erstmal zusammenzimmern.

So oder so werden rechtliche Schritte eingeleitet.
Mit Zitat antworten
  #9 (permalink)  
Alt 04-06-2004, 11:50
Hopka
 PHP Expert
Links : Onlinestatus : Hopka ist offline
Registriert seit: May 2003
Ort: Köln
Beiträge: 2.172
Hopka ist zur Zeit noch ein unbeschriebenes Blatt
Hopka eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von Titus
Ist karierter Hintergrund nicht ein bisken einfach?
Ich würd mit verschiedenen Farbtönen arbeiten.
Machen die sich wirklich den Aufwand, da eine Texterkennung drüber laufen zu lassen? Da ist es für die doch viel einfacher, die nächste Seite zu nehmen.

Bei der c't hatten die mal sowas ähnliches:
Da war ein Bild, und auf dem Bild stand nicht direkt der Code, sondern eine Anleitung, was man eingeben sollte.
z.B. Zweiter Buchstabe von Fahrrad, Ausrufungszeichen usw.
__________________
hopka.net!
Mit Zitat antworten
  #10 (permalink)  
Alt 04-06-2004, 11:54
Wurzel
 Master
Links : Onlinestatus : Wurzel ist offline
Registriert seit: Jul 2002
Ort: double-u-upper-valley
Beiträge: 7.477
Wurzel ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Titus
Ist karierter Hintergrund nicht ein bisken einfach?
Ich würd mit verschiedenen Farbtönen arbeiten.
kommt imho auf die kontraste an ... grauer text auf grauem grund ... 5° gedreht und du wirst automatisch ein echtes problem bekommen
EDIT:
beispiel dazu gibt es hier: http://www.php-resource.de/forum/sho...threadid=39848
__________________
Kissolino.com

Geändert von Wurzel (04-06-2004 um 12:06 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 06-06-2004, 22:23
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

Hallo, ich mal wieder.

Das Problem besteht weiterhin, obwohl ich Wurzels Methode eingebaut habe. Wie kann dieser A**** immer noch Anmeldungen durchführen, obwohl er gar nicht wissen kann, welcher Code gerade in der Grafik angezeigt wird? Irgendwelche Tipps??

Danke im Voraus.

Innuendo
Mit Zitat antworten
  #12 (permalink)  
Alt 06-06-2004, 23:30
hansi
 PHP Senior
Links : Onlinestatus : hansi ist offline
Registriert seit: May 2002
Ort: Rheinland-Pfalz & /root ;)
Beiträge: 1.316
hansi ist zur Zeit noch ein unbeschriebenes Blatt
Standard

is zwar leider etwas spät ... (hat mir persönlich sehr weitergeholfen):

---
Artikel von Wojciech Jukowski "Webrobotter stoppen - und mit Bildern identifizieren" von der Ausgabe Jaunar/Februar 2004 vom Generieren der Bilder, die uns vor Download-Automaten schutzen.

http://www.phpsolmag.org/files/token_de.pdf
http://www.phpsolmag.org/files/token_demo_de.zip
---

hast du das so eingebaut?
Mit Zitat antworten
  #13 (permalink)  
Alt 07-06-2004, 00:02
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

Ja, den Artikel habe ich gelesen. Zwar nicht exakt so umgesetzt wie dort, aber meine Methode funktioniert. Was mich ja verwundert, ist, dass der Spinner dennoch die Datenbank befüllen kann.

Die jetzige Lösung funktioniert tadellos. Man muss vier Sachen eingeben: Den Vornamen, den Nachnamen, die eMail-Adresse und den schon angesprochenen Bild-Code. Wird der Bild-Code nicht oder fehlerhaft eingegeben, findet keine Eintragung in die Datenbank statt. So ist es ja auch korrekt. Wie schon gesagt: Es werden trotzdem Einträge in die Datenbank eingefügt, obwohl dies gar nicht möglich ist.

"Naive" Versuche wie das Umbenennen der Namen der Eingabefelder o.ä. hatten keinen Erfolg gebracht, da der Junge (wahrscheinlich) mit einem Programm die Anmeldeseite aufruft, sie Zeile für Zeile durcharbeitet und immer dann, wenn er auf ein Eingabefeld trifft, dieses entsprechend füllt und dann die Seite ausführen lässt. Von daher ist es wirklich egal, wie das Eingabefeld heißt, das Programm kann dennoch sein Werk vollführen. Es braucht ja immer nur den name-Parameter des input-Tags auslesen. Nun kann ich diesen aber nicht weglassen, sonst kann ich die Formulareingaben ja gar nicht verarbeiten.
Mit Zitat antworten
  #14 (permalink)  
Alt 07-06-2004, 00:05
derHund
 PHP Master
Links : Onlinestatus : derHund ist offline
Registriert seit: Aug 2003
Ort: Hundehütte
Beiträge: 5.293
derHund ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Das Problem besteht weiterhin, obwohl ich Wurzels Methode eingebaut habe.
kenne Wurzels methode nur von drüberlesen ... wieviel verschiedene wörter benutzt du? sinvolle? edit: habs grad gesehen, rand ==> fehlversuche speichern ...
Zitat:
"Naive" Versuche wie das Umbenennen der Namen der Eingabefelder o.ä. hatten keinen Erfolg gebracht, da der Junge (wahrscheinlich) mit einem Programm die Anmeldeseite aufruft,
sicher, daß der über das formular kommt? kannst du mal zusätzulich bei erfolglosen versuchen die versuchsdaten speichern? bring vielleicht mehr klarheit ....
__________________
Die Zeit hat ihre Kinder längst gefressen
Mit Zitat antworten
  #15 (permalink)  
Alt 07-06-2004, 00:14
Innuendo
 Guest
Innuendo
Beiträge: n/a
Standard

Zitat:
Original geschrieben von derHund
wieviel verschiedene wörter benutzt du? sinvolle?
Ich benutze gar keine Worte, sondern eine vom Skript erzeugte sechs Zeichen umfassende zufällige Ziffern-Buchstaben-Kombination. Eine, wie ich denke, sehr sichere Methode.

Zitat:
Original geschrieben von derHund
sicher, daß der über das formular kommt?
Sehr sicher, weil beim Eintragen in die Datenbank eine eMail mit einem Bestätigungslink verschickt wird. Das weiß ich daher, weil ich vom Kunden eMails zugeschickt bekam, worin die Leute darauf hingewiesen haben, dass sie sich für den Newsletter nie angemeldet haben und dennoch die eMail mit dem Link bekamen.

Zitat:
Original geschrieben von derHund
kannst du mal zusätzulich bei erfolglosen versuchen die versuchsdaten speichern? bring vielleicht mehr klarheit ....
Erfolglose Versuche kann es nicht geben. Das Skript überprüft, ob in den Formularfelder etwas drin steht. Sind beispielsweise nur die ersten drei ausgefüllt (und damit das Bild-Code-Feld nicht), wird weder etwas in die DB eingetragen noch eine eMail verschickt. Erst wenn ALLE Felder ausgefüllt wurden (und dabei das Bild-Code-Feld logischerweise korrekt), erst dann wird der Datensatz angelegt und die eMail verschickt. Selbst wenn man nur das Bild-Code-Feld ausfüllen würde, es würde dennoch kein Datensatz angelegt werden. Die Formularinhalte überprüfen tue ich natürlich mittels PHP und nicht mittels Javascript.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

Microweber CMS

Open source, drag and drop website builder

13.01.2020 Berni | Kategorie: HTML5/ EDITOR
PhoneGap Apps mit JS, CSS3 und HTML5 erstellen ansehen PhoneGap Apps mit JS, CSS3 und HTML5 erstellen

PhoneGap, Framework zur Erstellung hybrider Applikationen für mobile Endgeräte.

13.01.2020 Berni | Kategorie: App-Entwicklung
Bo)Tickets

Bo)Tickets bietet Ihnen eine Schnittstelle für Kundenanfragen an. In dem Script definieren Sie Supportbereiche, also zum Beispiel „Technik, Buchhaltung, Support“. Ihre Kunden können dann über ein Formular eine Anfrage abschicken.

31.12.2019 bocombo | Kategorie: PHP/ Ticketsystem
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 23:13 Uhr.