Sicherheitslücke bei der RIAA - Website "entrümpelt"

Internet & Webdienste Der Verband der US-Musikindustrie RIAA ist gerade bei Filesharern wegen seines aggressiven Vorgehens gegen deren oft illegale Aktivitäten wenig beliebt. Dementsprechend häufig sind auch Versuche, der Lobbyorganisation Schaden zuzufügen und sei es ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
SQL Injection? Das war vor über 5 Jahren mal aktuell. Ist echt ne schwache Leistung wenn man heute immer noch nicht auf die SQL Injection validiert (gerade bei so ner vielbesuchten und -gehassten Seite, die ein häufiges Ziel von Attacken ist).
 
@pkon: Es kommt auf die Größe der Seite an, in wie weit sie anfällig sein kann. Es gibt zwar kein Pardon für die Progger, die diese Seite geschrieben haben, denn SQL-Injection ist nun mal ein Problem, dem man entgegnen muss. Leider gibts immernoch keine fertige Lösung gegen die Injections, man muss immer selbst was basteln und gerade bei großen Seiten kann es man vergessen werden einen Wert oder eine Variable auf Injection-Code zu prüfen. Ich kenn das selbst, ist mir auch schon passiert.
Vorteil ist immerhin, das die RIAA jetzt weiss, das ihre Seite lückhaft ist.

Bin mal gepannt, ob die dann auch mal dafür plädieren, dass MySQL sich etwas einfallen lassen soll, damit solche Injections nicht mehr möglich sind.

Sonst befehlen die ja auch alles mögliche. Warum nicht mal was sinnvolles!
 
@pkon: Nö, leider ist es immer noch absolut aktuell das Thema, weil man sich echt umgewöhnen muß, wie man SQL-Abfragen und -Befehle konstruiert, um das zu verhindern. Auch das Suchen auf Bugs ist nicht ganz trivial.
 
@Hawk18x: Es gibt bereits fertige Funktionssets die SQL-Befehle auf Injection Versuche prüfen. Man muß sie nur einbinden. Problematisch ists natürlich wenn die Konstrukte die verwendet werden noch nicht bekannt sind.
 
@pkon: Blacklists sollten nie verwendet werden und für SQL gibts ja "Prepared Statements"
 
@Hawk18x: "MySQL" muss da gar nichts tun, denn es handelt sich nicht um einen MySQL-Problem, sondern höchstens um ein Problem in den Webskripten. MySQL *kann* gar nicht differenzieren, ob der übergebene SQL-Query, so wie er übergeben wurde, denn nun gewollt ist oder ob nicht. Die Überprüfung kann höchstens auf Skript-Seite erfolgen und auch hier ist fraglich, inwieweit das Überprüfen eines Queries erfolgsversprechend ist. Der Fehler ist hier doch offensichtlich ein ganz anderer, nämlich das übergebene Variablen ungeprüft oder unzureichend geprüft "blind" in ein Query übernommen werden. Und da hilft einfach nur ein "Augen auf, Hirn an" - nicht mehr, nicht weniger.
 
@Hawk18x: was heißt hier es gibt keine lösung gegen sql injection?
Also in ASP.NET (bzw. allgemein dem .NET Framework) gibt's eine fertige variante mit Parameter Objekten.
Und ich denke mal das gibt's auch für Java, Delphi, ...
Das gibt's wahrscheinlich sogar für eine DER grauslichsten Programmiersprachen PHP mit irgendwelchen Hilfsbibliotheken.
 
@pkon: Nunja wer gar keine Ahnung hat wo man soche Sachen findet ein paar einfache Beispiele welche aber bestimmten Hobbyseiten das Kreuz retten koente guckt einfach auf Wikipedia unter SQL-Injections http://de.wikipedia.org/wiki/SQL-Injection und nun hoffe Ich dass eventuell 2 Seiten sicherer sind =)
 
^'-'^ Mal ein Frage von jemandem, der SQL nur von Namen her kennt, aber nichts drüber weiß: Kann auf die oben beschriebene Weise auch private Homepages attackieren, in denen nur HTML, CSS und Java vorkommt?
 
@Naben Jim: Über ne SQL Injection wohl kaum.. aber es gibt auch HTML Injections!
 
@malfunction: HTML Injections?! Uncool! Was kann ich dagegen tun bzw. wo kann ich mich am Besten informieren?
 
@Naben Jim: live.com befragen oder google.de
 
Jedenfalls hat es nicht die falschen getroffen. Die RIAA hat selbst durch kriminelle Aktionen einiges gemacht.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen