{"id":15,"date":"2008-12-04T08:09:10","date_gmt":"2008-12-04T08:09:10","guid":{"rendered":"http:\/\/carsten.familie-schumann.info\/blog\/?p=15"},"modified":"2014-12-04T20:36:31","modified_gmt":"2014-12-04T20:36:31","slug":"sql-injection-attack-mit-hilfe-der-stadt","status":"publish","type":"post","link":"https:\/\/carsten.familie-schumann.info\/blog\/2008\/12\/sql-injection-attack-mit-hilfe-der-stadt\/","title":{"rendered":"SQL Injection Attack mit Hilfe der Stadt"},"content":{"rendered":"

Umz\u00fcge bringen ja so einiges mit sich. Unter anderem auch meistens eine neue Adresse. Bei der Planung des Wohngebiets, in das wir nun gezogen sind, hat die Stadt Dorsten jedoch au\u00dferordentliche Kreativit\u00e4t an den Tag gelegt und gezeigt, dass Stra\u00dfennamen nicht nur aus Buchstaben bestehen m\u00fcssen.<\/p>\n

Unsere Stra\u00dfe hat in dieser kreativen Phase den Namen Auf’m Diek<\/i> bekommen und ja, das mit dem Apostroph ist die offizielle Schreibweise.<\/p>\n

F\u00fcr die ersten lustigen Effekte sorgte der Name bereits, als wir unsere DSL-Leitung bei Versatel bestellen wollten. Dort gab es n\u00e4mlich ganze 5 Stra\u00dfen, die in die Endauswahl kamen: Aufm Diek<\/tt>, Auf dem Diek<\/tt>, Auf'm Diek<\/tt>, Auf\u00b4m Diek<\/tt> sowie Auf`m Diek<\/tt>. Wir haben uns einfach mal f\u00fcr eine beliebige Variante entschieden und es hat auf Anhieb funktioniert.<\/p>\n

Nicht so viel Gl\u00fcck hatten wir gestern, als wir im Internet etwas bestellen wollten. Produkt ausgew\u00e4hlt, ab zur Kasse, Kundenkonto angelegt, Versandadresse eingegeben und dann das:<\/p>\n

1064 – You have an error in your SQL syntax; check the manual that
\ncorresponds to your MySQL server version for the right syntax to use near
\n‚m Diek‘, ‚Dorsten‘, ‚46284‘, 0)‘ at line 2
\nINSERT INTO customers_credit_reform (score, customers_id, address_valid,
\naddress_valid_code, address_known, address_street_no, address_street_name,
\naddress_town, address_postcode, credit_error) VALUES (42, 91756,
\n“, ’03‘, ‚0‘, ’19‘, ‚Auf’m Diek‘, ‚Dorsten‘, ‚46284‘, 0)
\n[XT SQL Error]<\/p><\/blockquote>\n

\"Bug\"Eine solche Meldung l\u00e4sst das Herz jedes Softwareentwicklers h\u00f6her schlagen.<\/p>\n

F\u00fcr diejenigen, die nicht viel mit SQL am Hut haben, will ich mal kurz erl\u00e4utern, was hier passiert ist: Bei SQL, das ist eine Datenbanksprache, werden Texte in Hochkommatas eingeschlossen, um zu kennzeichnen, wo der Text anf\u00e4ngt und wo er endet. Au\u00dferhalb der Hochkommatas stehen Befehle, was die Datenbank machen soll. In der oberen Fehlermeldung soll beispielsweise in die Felder core, customers_id, address_valid, … , credit_error<\/i> der Tabelle customers_credit_reform<\/i> etwas eingef\u00fcgt werden, und zwar die Werte (VALUES) die dahinter stehen. Zahlenfelder haben keine Hochkommatas (z.B. 00963) w\u00e4hrend Textfelder mit Hochkommatas eingeschlossen sind (z.B. ‚Dorsten‘).<\/p>\n

Wenn man sich nun die Anweisung mal genau anschaut, dann f\u00e4llt auf, dass bei ‚Auf’m Diek‘ irgendwie ein Hochkomma zu viel ist. Die Datenbank interpretiert dies so, dass der Text 'Auf'<\/tt> lautet und m Diek<\/tt> als SQL-Befehl interpretiert wird, der nat\u00fcrlich inkorrekt ist, was die oben gezeigte Fehlermeldung proviziert.<\/p>\n

Mit ein bischen SQL-Wissen und aufgestautem Frust (weil z.B. die Bestellung nicht klappt) k\u00f6nnte jemand sich auch folgende Adresse ausdenken: 'irgendwas','','',9);DROP DATABASE;--'<\/tt>. Das resultierende SQL-Kommando s\u00e4he dann so aus:<\/p>\n

INSERT INTO customers_credit_reform (score, customers_id, address_valid,
\naddress_valid_code, address_known, address_street_no, address_street_name,
\naddress_town, address_postcode, credit_error) VALUES (42, 91756,
\n“, ’03‘, ‚0‘, ’19‘, ‚irgendwas‘,“,“,9);DROP DATABASE;–‚, ‚Dorsten‘, ‚46284‘, 0)<\/p><\/blockquote>\n

\"schredder\"F\u00fcr nicht-SQLler \u00fcbersetzt und gek\u00fcrzt: F\u00fcge irgendwas in die Tabelle customers_credit_reform ein und l\u00f6sche danach die gesamte Datenbank<\/b>. Alles nach dem — wird als Kommentar interpretiert und ignoriert. Der Shop-Betreiber wird sich freuen, wenn seine gesamten Daten weg sind.<\/p>\n

Normalerweise w\u00fcrde man Hochkommata in Textfeldern einen Backslash voranstellen '<\/tt> um sie zu „escapen“. Offensichtlich hat das der Programmierer dieses Webshops jedoch vergessen, obwohl PHP und andere Programmiersprachen hierf\u00fcr extra Befehle haben und die meisten Datenbankabstraktionsschichten das schon automatisch machen. Tragisch sag ich nur.<\/p>\n

Aber zur\u00fcck zur Bestellung. Um das Problem zu umgehen, hab ich meine Adresse zu Aufm Diek<\/tt> korrigiert. Der Postbote findet das auch so. Aber auch hier hat mich der Webshop \u00fcbert\u00f6lpelt.<\/p>\n

1064 – You have an error in your SQL syntax; check the manual that
\ncorresponds to your MySQL server version for the right syntax to use near
\n‚m Diek‘, ‚Dorsten‘, ‚46284‘, 0)‘ at line 2
\nINSERT INTO customers_credit_reform (score, customers_id, address_valid,
\naddress_valid_code, address_known, address_street_no, address_street_name,
\naddress_town, address_postcode, credit_error) VALUES (00963, 91756,
\n‚Korrigierte Eingabeadresse wird ausgegeben‘, ’03‘, ‚0‘, ’19‘, ‚Auf’m
\nDiek‘, ‚Dorsten‘, ‚46284‘, 0)
\n[XT SQL Error]<\/p><\/blockquote>\n

Ich sag nur: Korrigierte Eingabeadresse wird ausgegeben<\/b>.<\/p>\n

Gegen soviel geballte Intelligenz des Webshops komm auch ich nicht an und hab mich mal entschlossen, das ganze per E-Mail zu bestellen. Mal sehen, ob der Webshop die Bestellung annimmt …<\/p>\n","protected":false},"excerpt":{"rendered":"

Umz\u00fcge bringen ja so einiges mit sich. Unter anderem auch meistens eine neue Adresse. Bei der Planung des Wohngebiets, in das wir nun gezogen sind, hat die Stadt Dorsten jedoch au\u00dferordentliche Kreativit\u00e4t an den Tag gelegt und gezeigt, dass Stra\u00dfennamen nicht nur aus Buchstaben bestehen m\u00fcssen. Unsere Stra\u00dfe hat in dieser kreativen Phase den Namen…
Mehr Lesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-15","post","type-post","status-publish","format-standard","hentry","category-programmierung"],"_links":{"self":[{"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/posts\/15","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/comments?post=15"}],"version-history":[{"count":2,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions"}],"predecessor-version":[{"id":17,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions\/17"}],"wp:attachment":[{"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/media?parent=15"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/categories?post=15"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/carsten.familie-schumann.info\/blog\/wp-json\/wp\/v2\/tags?post=15"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}