Thema: Sicherheitslücke in YNews

Hi
Ich habe festgestellt, dass in meiner Komponente YNews eine Sicherheitslücke festgestellt wurde. Die meldung ist:

################################################## #########################################
### entfernt vorsichtshalber
################################################## #########################################

Hab es zwar selbst irgendwie noch nicht geschaft diesen Hack zu reproduzieren, aber wahrscheinlich fehlt mir da einfach das wissen.

Ich hab jetzt einfach mal immer ein (int) id, also eine parse auf integer für die Variable hinzugefügt. Hab mir gedacht, dann ist es unmöglich irgendwelche bösen sql injections zu machen.

Aber wie gesagt, ich kenn mich da nicht so gut aus. Hat jemand die Erfahrung - genügt das oder braucht es noch mehr?

Sorry, das hab nicht ich sondern der admin entfernt.
Diese Meldung hab ich schon auch gefunden. Aber sie nützt mir irgendwie nicht wirklich viel - weil ich mich da zu wenig auskenne. Wenn ich diese Exploit url oben eingib passiert nicht viel. Ich müsste erst mal verstehen, was genau das exploit macht.

Außerdem denke ich, dass der parse auf int das Problem tatsächlihc behebt.

Ich verstehe es so, das die Komponente die Usereingaben nicht filtert und daher über die Parameter in der Url eine sql- injection möglich ist. Ynews stellt dabei das Tor zur Datenbank da. Der Interpreter wird dadurch warscheinlich mit Zeichen gefüttert(vom user) die Sonderfunktionen in sql darstellen(apostroph, semik.,anführungszeichen). YNews wird wohl die Usereingaben nicht wirklich maskieren oder überprüfen(validieren). In dem Exploit ist glaube ich eine union-abfrage dabei, die meistens Tabellen oder Variabeln ausliest.
Dadurch kann man eben Funktionszeichen(sql) anwenden, die verschiedenes auf dem Server bewirken. Viele Kiddies nutzen zum finden von solchen Lücken z.b. diese googleabfrage:

inurl:index.php?option=com_ynews
Dann kommt noch der exploitcode und die datenbankmanipulation:
/index.php?option=com_ynews&Itemid=0&task=showYNews &id=
-1/**/union/**/select/**/0,1,2,username,password,5,6 from jos_users/*

Bitte von einem Admin/Mod entfernen falls das posten des Codes nicht zulässig ist.

Vllt. konnte dir das ein wenig helfen, den ganzen kramm zu verstehen.
Und klar das der Code auf Deiner Seite im Browser nicht funktioniert hat, ich glaube das Exploit ist absichtlich mit Fehlern versehen.

Bei php und mysql gibt es die mysql_real_escape_string- funktion um solche eingaben vom Interpreter fern zu halten.
Der Link unten hilft Dir sicher das zu verstehen.
http://www.php-resource.de/manual.ph...-escape-string

Naja eigentlich is des ja fertig - aber ich bräuchte eben einen Experten - die mir sagen kann - ob das Problem damit behoben ist. Bevor dann die Sicherheitslücke weiter ausgenutzt werden kann.