✔ PHP Variablen auf fremde Webseiten herausfinden ?!

[NetPerformance]

Hallo

Habe eine allgemeine Frage..

Angenommen ich besuche eine Webseite mit Login-Formular oder ein anderes Formular.
Sobald ich die Daten eingetragen habe, werden die Werte durch irgendwelche Variablen an die DB geschickt.

Frage:

1. Besteht irgendwie die Möglichkeit herauszufinden, wie die Variablen heissen ?
2. Besteht die Möglichkeit irgendwas über die Datenbank in Erfahrung zu bringen ?

Ich würde sagen.. nein und nochmals nein.

Gruß
Aaron

 

[hpvw]

Du kannst nur die Variablennamen in Erfahrung bringen, die an den Server gesendet werden, es sei denn, Du fragst den Programmierer.
Die Variablennamen, die am Server ankommen, erkennst Du im HTML-Quelltext zum Formular.
Zum Beispiel heisst der Variablenname vom Suchfeld links query.

Mit der Datenbank hast Du als User nichts am Hut und erfährst somit an Deinem Client auch nichts näheres zu den Feldern, den Tabellen oder den Variablen, die mit einem Query dort eingetragen oder ausgelesen werden. Du kannst nicht mal wissen, ob eine Datenbank benutzt wird.

Gruß hpvw

 

[cameeel]

Ich stimmte hpvw zu, aber mal ne andere Frage, wiso willst du das wissen?

cAm3eel.

 

[NetPerformance]

Hu..

.. beschäftige mich seit ein paar Stunden mit Web-Sicherheit.
Dabei bin ich auf SQL injection gestoßen. Hierfür muss der User die Variablen kennen.. ich würde gerne wissen, was man alles aus dem Quelltext auslesen kann. !?

Gruß
Aaron

 

[cameeel]

Du kannst nur die Variablennamen in Erfahrung bringen, die an den Server gesendet werden, es sei denn, Du fragst den Programmierer.
Die Variablennamen, die am Server ankommen, erkennst Du im HTML-Quelltext zum Formular.
Zum Beispiel heisst der Variablenname vom Suchfeld links query.

Damit ist doch alles gesagt oder nicht?

 

[NetPerformance]

klar.. alles ok

 

[Gumbo]

Informationen über das Backend einer Website können meist nur dann erfahren, wenn der Entwickler geschlampt oder fahrlässig gearbeitet hat. Dazu reicht es oft aus, vom Entwickler nicht-berücksichtigte oder nicht-beachtete Eingaben zu tätigen.

Ein einfaches Beispiel für Cross-Site Scripting: Die Webseiten werden nach dem Anfragemuster „/index.php?foobar“ angefordert. Sorgt nun „index.php?index“ für eine Endlosschleife, sollte der Entwickler sich noch einmal an die Arbeit machen. Denn scheinbar wird das Query-String-Argument ohne jegliche Prüfung in den Ablauf des Skriptes übernommen. Was in diesem Fall „nur“ für eine harmlose aber dennoch vermeidbare Endlosschleife und damit unnötige Belastung des Webservers führte, kann unter gewissen Bedingungen zur Sabotage des Webservers führen.

Ein einfaches Beispiel für SQL-Injektion: Angenommen auch hier wird eine ganz andere Benutzereingabe übermittelt, als eigendlich angenommen – egal ob es per GET- oder POST-Methode übermittelt wird, beides lässt sich mit Leichtigkeit realisieren. Es gibt aber keine Validation der Benutzereingaben und es kommt zu dieser schönen Fehlermeldung:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'foobar' at line 4

Schon hat man einen Einblick in die Struktur einer Tabelle oder einer Datenbank.