Forum Benutzerbild> Wie macht der das??

opium · 23. August 2008

Zitat

Was mich aber interessieren würde ist, wieso du dich so darum bemühst? Ich nehme an, dass du absolut keine Ahnung von der Materie hast (soll keine Beleidigung sein). Am besten liest sich euer 'Admin' mal unter http://www.vbulletin.com/ ein. Da steht auch, wie man Versionen patchen kann...

Und nein, eine Garantie auf 'wir schliessen alle möglichen Lücken, die es irgendwie geben kann' bietet auch Version 3.7.2 nicht.

Du stellst ja fragen. Warum sollte ich eine ahnung haben von "der" matrie? Das ist nicht mein board, ich betreibe keine foren usw, warum sollte ich mich den mit foren software rumschlagen?
Kennst du jede schraube deines autos nur weil du es ab und an benützt?

Das ist glaub eins der grössten deutschen boards, ich glaube nicht das ich dem admin (nicht mein/unser admin zu sagen habe was er tun soll.

Was fragt sich jeder wen er einem zauberer zusieht?
Das ist bei mir das selbe, ich wüsste es halt gern auch wen ich keinerlei nutzen davon trage. Was ist daran so schwer zu verstehen?

Ums abzukürzen; Ich dachte mir das hier die chance gross ist das ein tweaker mehr weiss und licht ins dunkel bringt, und seis auch nur per PM.

Leider fehlanzeige, aber trotzdem leute danke für die hilfe!

Peter Craft · 23. August 2008

ist halt nicht mehr so wie "früher" hier..

opium · 24. August 2008

Zitat

Original von lIquid_mEtaL
ist halt nicht mehr so wie "früher" hier..

ja damals als "killersushi" noch Kühlschränke zersägte um an die innereien zu kommen wars doch einiges iger hier

GP · 24. August 2008

Zitat

Original von lIquid_mEtaL
ist halt nicht mehr so wie "früher" hier..

Tja, dann ist das deine Gelegenheit, was beizutragen. Darfst ihm hier ruhig erklären, wie das mit SQL Injections so funktioniert.

Peter Craft · 24. August 2008

ich hab nie gesagt dass ich weiss wieso und warum dass so ist. am anfang des threads gab es ja 2-3 leute die das konkret gewusst hätten, aus welchem grund auch immer es jedoch nicht sagen wollen..

BLJ · 24. August 2008

Zitat

Original von GP

Tja, dann ist das deine Gelegenheit, was beizutragen. Darfst ihm hier ruhig erklären, wie das mit SQL Injections so funktioniert.

pha, die kann man ja im Wikipedia nachschauen?!

kurz anhand eines Beispiels. und zwar partyguide.ch

Wenn du da in dem personen-such Formular etwas eingibst, bspw. Alter von bis, Geschlecht, Ort,.. etc. Dann wird das in ein SQL Query integriert.

bspw. SELECT * FROM PERSONS => holte alle Personen
SELECT * FROM PERSONS WHERE AGE >18 AND AGE < 20

holt alle Personen zwischen 18 und 20.

Nun möchte man diesen SQL String abändern (injection).
bei partyguide gabs n Exploit da hat einer im endeffekt ein SQL Query gehabt:

SELECT * FROM PERSONS WHERE PASSWORD = "ABC". Also kam die Liste mit allen Leuten die als Passwort ABC hatten.

Wie hat er das gemacht?

--> Wenn man nach Namen selektiert geht das etwa so:
SELECT * FROM PERSONS WHERE NAME LIKE "WERT".
Wenn man jetzt im Formular folgendes schreibt:

Name: %" AND PASSWORD="ABC" AND NAME LIKE "%

so wird im SQL Statement folgendes:

SELECT * FROM PERSONS WHERE NAME LIKE "%" AND PASSWORD="ABC" AND NAME LIKE "%"

% = (in MS SQL zumindest) Platzhalter, ergo kannst du das NAME LIKE "%" auch gleich weg lassen da es keinen Einfluss hat.

Es wird also die Liste mit allen Personen die als Passwort ABC haben zurückgegeben.

http://de.wikipedia.org/wiki/SQL_Injection