[Erledigt] Variablen auf Fremde Webseiten herausfinden ?!

29.11.2005, 20:31

Hallo

Habe eine allgemeine Frage..

Angenommen ich besuche eine Webseite mit Login-Formular oder ein anderes Formular.
Sobald ich die Daten eingetragen habe, werden die Werte durch irgendwelche Variablen an die DB geschickt.

Frage:

1. Besteht irgendwie die Möglichkeit herauszufinden, wie die Variablen heissen ?
2. Besteht die Möglichkeit irgendwas über die Datenbank in Erfahrung zu bringen ?

Ich würde sagen.. nein und nochmals nein.

Gruß
Aaron

29.11.2005, 20:46

1.) Der Name dieser Variablen bzw der Key des $_POST oder $_GET Arrays lautet so, wie er im "name" Attribut des Eingabefeldes im Formular definiert wurde.
Bsp:

Code:

<input type="text" name="dein_variablenname" />

2.) Natürlich kann man etwas über die DB in Erfahrung bringen, fragt sich nur was du darüber wissen möchtest

//edit:
Sorry, hab übersehen, dass es sich um ein fremdes Script handelt

JohnRambo · 29.11.2005, 20:46

richtig!
denn dein browser bekommt nie php zu gesicht sondern nur html

.. du frägst zwar eine php-seite an, der server verarbeitet die phpanweisungen aber in html, und dieses html bekommst du dann ausgegeben!

29.11.2005, 20:47

Die Namen der Formularelemente kannst Du Dir natürlich ansehen; das sind dann auch die Namen der übermittelten Parameter.
Was danach auf dem Server passiert, siehst Du (ohne Fehlkonfiguration) nicht.

JohnRambo · 29.11.2005, 20:47

Zitat:

Zitat von Froali

1.) Der Name dieser Variablen bzw der Key des $_POST oder $_GET Arrays lautet so, wie er im "name" Attribut des Eingabefeldes im Formular definiert wurde.
Bsp:

Code:

<input type="text" name="dein_variablenname" />

2.) Natï¿½rlich kann man etwas ï¿½ber die DB in Erfahrung bringen, fragt sich nur was du darï¿½ber wissen mï¿½chtest

sry4doppelpost

schon richtig, aber er kann ja bsp. $_POST['dein_variablenname'] auch in $hans umschreiben .. und mit der dann weiterarbeiten

29.11.2005, 21:34

Hallo

Danke für die schnelle Antwort..

Die meisten Scripte verwenden post statt get.. kann ich auch trotz post irgendwie die variable überschreiben ?

Bei get brauche ich nur in der Adresszeile den Wert zu ändern .. aber wie ist das bei post ?

Gruß
Aaron

29.11.2005, 21:40

Zitat:

Zitat von aaron_k

Bei get brauche ich nur in der Adresszeile den Wert zu ändern .. aber wie ist das bei post ?

Z.B. eigenes Formular erstellen und an besagte Adresse senden!

Es gibt aber glaube ich auch ein Tool für Firefox mit dem man sich solche Scherze erlauben kann [Formular hinzufügen, Hidden-Felder ändern, etc.]. Kannst ja mal suchen.

29.11.2005, 21:43

Auch POST ist keine Magie. Natürlich können da nahezu beliebige Werte übergeben werden.
Wenn die Frage darauf hinausläuft, ob POST sicher ist und Du daher auf weitere Tests verzichten kannst: Nein, sämtliche Benutzereingaben müssen unabhängig von der Übertragnugsmethode mit der gleichen Sorgfalt geprüft werden.

29.11.2005, 21:58

@karl-150: "eigenes Formular erstellen und an besagte Adresse senden!"
Gute Idee

@Bruchpilot: Die Frage habe ich mir gestellt, nachdem ich von ein paar Stunden etwas über SQL Injection gelesen habe. Daher wollte ich wissen, in wie weit ein böser Mensch Informationen über meine Seite in Erfahrung bringen kann.

Nachtrag:
Abgesehen von den Variablen braucht der Angreifer Informationen über die Datenbank. Daher wollte ich auch wissen, in wie weit man etwas über die Datenbank erfahren kann.

29.11.2005, 22:09

Man probiert einfach die Standardsachen aus und freut sich dann 'nen Keks

Lücke ist Lücke und security by obscurity ist keine Ausrede für richtige Parameterbehandlung.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Klasse statt globaler Variablen	ecomeback	PHP-Fortgeschrittene	6	15.07.2008 16:30
Fehler bei Übergabe von Variablen aus MySQL in Firefox	jensoweber	Datenbanken	0	13.07.2008 13:14
E-Mail Formular: Variablen in $message einfügen?	thomas108	PHP Tipps 2008	9	02.06.2008 12:33
Übergeben von Variablen an in PHP eingebundenes Perl-Script	shredder01	PHP Tipps 2008	3	04.04.2008 09:25
Datei mit Variablen so includen, dass Variablen nutzbar?	BartTheDevil89	PHP Tipps 2008	6	22.01.2008 20:57
unerklärliches Leeren von Variablen	KuShi	PHP Tipps 2007	2	08.07.2007 15:19
Teil einer Variablen mit einer Variablen ersetzen ?	simsalabim	PHP Tipps 2007	11	20.03.2007 20:36
Variable aus Variablen zusammensetzen	juhuwoorps	PHP Tipps 2007	1	28.11.2005 21:50
Webseiten werden bei Linux nicht richtig angezeigt		Server, Hosting und Workstations	13	16.10.2005 13:39
In Fuktionen alle Variablen Global stellen ?	atom-dragon	PHP Tipps 2005-2	5	22.07.2005 04:30
Variablen übergeben bzw. auslesen?		PHP Tipps 2005	4	30.01.2005 03:56
[Erledigt] register globals off bei variablen Variablen...		PHP Tipps 2005	4	25.01.2005 17:50
post variablen vorgaukeln		PHP-Fortgeschrittene	4	11.01.2005 15:21
Variablen leeren		PHP Tipps 2005	14	06.01.2005 18:19
Variablen per adresse übergeben	rocco	PHP Tipps 2004	7	24.07.2004 12:03

29.11.2005, 20:31
Gast Beiträge: n/a	[Erledigt] Variablen auf Fremde Webseiten herausfinden ?! Hallo Habe eine allgemeine Frage.. Angenommen ich besuche eine Webseite mit Login-Formular oder ein anderes Formular. Sobald ich die Daten eingetragen habe, werden die Werte durch irgendwelche Variablen an die DB geschickt. Frage: 1. Besteht irgendwie die Möglichkeit herauszufinden, wie die Variablen heissen ? 2. Besteht die Möglichkeit irgendwas über die Datenbank in Erfahrung zu bringen ? Ich würde sagen.. nein und nochmals nein. Gruß Aaron


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.11.2005, 20:46
Gast Beiträge: n/a	1.) Der Name dieser Variablen bzw der Key des $_POST oder $_GET Arrays lautet so, wie er im "name" Attribut des Eingabefeldes im Formular definiert wurde. Bsp: Code: <input type="text" name="dein_variablenname" /> 2.) Natürlich kann man etwas über die DB in Erfahrung bringen, fragt sich nur was du darüber wissen möchtest //edit: Sorry, hab übersehen, dass es sich um ein fremdes Script handelt

29.11.2005, 20:46
JohnRambo Erfahrener Benutzer Registriert seit: 01.07.2005 Beiträge: 225	richtig! denn dein browser bekommt nie php zu gesicht sondern nur html .. du frägst zwar eine php-seite an, der server verarbeitet die phpanweisungen aber in html, und dieses html bekommst du dann ausgegeben!

29.11.2005, 20:47
Gast Beiträge: n/a	Die Namen der Formularelemente kannst Du Dir natürlich ansehen; das sind dann auch die Namen der übermittelten Parameter. Was danach auf dem Server passiert, siehst Du (ohne Fehlkonfiguration) nicht.

29.11.2005, 21:34
Gast Beiträge: n/a	Hallo Danke für die schnelle Antwort.. Die meisten Scripte verwenden post statt get.. kann ich auch trotz post irgendwie die variable überschreiben ? Bei get brauche ich nur in der Adresszeile den Wert zu ändern .. aber wie ist das bei post ? Gruß Aaron

29.11.2005, 21:43
Gast Beiträge: n/a	Auch POST ist keine Magie. Natürlich können da nahezu beliebige Werte übergeben werden. Wenn die Frage darauf hinausläuft, ob POST sicher ist und Du daher auf weitere Tests verzichten kannst: Nein, sämtliche Benutzereingaben müssen unabhängig von der Übertragnugsmethode mit der gleichen Sorgfalt geprüft werden.

29.11.2005, 21:58
Gast Beiträge: n/a	@karl-150: "eigenes Formular erstellen und an besagte Adresse senden!" Gute Idee @Bruchpilot: Die Frage habe ich mir gestellt, nachdem ich von ein paar Stunden etwas über SQL Injection gelesen habe. Daher wollte ich wissen, in wie weit ein böser Mensch Informationen über meine Seite in Erfahrung bringen kann. Nachtrag: Abgesehen von den Variablen braucht der Angreifer Informationen über die Datenbank. Daher wollte ich auch wissen, in wie weit man etwas über die Datenbank erfahren kann.

29.11.2005, 22:09
Gast Beiträge: n/a	Man probiert einfach die Standardsachen aus und freut sich dann 'nen Keks Lücke ist Lücke und security by obscurity ist keine Ausrede für richtige Parameterbehandlung.