id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
336	Webseiten mit SQL-Injection-Schwachstellen	drolingdany	somebody	"Guten Morgen zusammen,
gestern Abend erhielt ich von unserem Hoster folgende eMail:


{{{
Sehr geehrter Kunde,
wir wurden heute von CERT-Bund unterrichtet das Ihre Webseite eine schwerwiegende Sicherheitslücke aufweist. Anbei die Email im Anhang als TXT-Format.
Im Betreff finden Sie die entsprechende AbuseID unter der diese Sicherheitslücke bearbeitet wird.

Folgender URL wurde bei dem Sicherheistcheck gemeldet: http://aktivstoffe.de/index.php?language=fr&cPath=2&page=-1%27

Ich bitte Sie schnellstens die entsprechenden Gegenmassnahmen einzuleiten und uns über den Stand bis Ende der Woche zu unterrichten.

Ich bedanke mich im vorraus für Ihre Unterstützung.
}}}



In der angehängten txt Datei befand sich folgender Text des CERT-Bunds:


{{{
Sehr geehrte Damen und Herren,

CERT-Bund hat von einer externen vertrauenswürdigen Quelle eine Liste
in Deutschland gehosteter Webseiten erhalten, welche offenbar für
SQL-Injection-Angriffe (unzureichende Validierung von Benutzereingaben
bzw. URL-Parametern) verwundbar sind. Der Quelle zufolge wurden die
Schwachstellen bereits von Cyber-Kriminellen ausgenutzt, um Zugangsdaten
sowie ggf. weitere in den Datenbanken der Webseiten gespeicherte
persönliche Daten der jeweiligen Nutzer auszuspähen.

Die uns zur Verfügung gestellte Liste enthält jeweils eine URL, welche
die SQL-Schwachstelle in einem GET- bzw. POST-Request verdeutlichen soll,
zum Beispiel durch Rückgabe einer SQL-Fehlermeldung mit Nennung konkreter
Datenbanktabellenfelder.

Nachfolgend senden wir Ihnen eine Liste betroffener URLs in Ihrem
Netzbereich.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Bereinigung und Absicherung der betroffenen Websites zu ergreifen bzw.
Ihre Kunden entsprechend zu informieren.

Aus rechtlichen Gründen kann das BSI die Verwundbarkeit der einzelnen
Webseiten nicht verifizieren. Es kann daher keine Gewähr für die
Richtigkeit der uns zur Kenntnis gelangten Informationen übernommen
werden.
Mit der Weitergabe dieser Informationen an Sie ist der Vorgang für uns
abgeschlossen. Für eine Rückmeldung über ggf. getroffene Maßnahmen wären
wir dennoch dankbar.

Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an .

Liste der Beispiel-URLs für verwundbare Webseiten in Ihrem Netzbereich:

Format: ASN | IP-Adresse | URL
24940 | 5.9.66.61       |
http://aktivstoffe.de/index.php?language=fr&cPath=2&page=-1%27



Mit freundlichen Grüßen
das Team CERT-Bund
}}}



Ich verstehe leider überhaupt nicht, wie es dazu kommen kann. Was mir auffällt, ist, dass in der URL die französische Sprache angesteuert wird, diese aber gar nicht installiert ist.

Shop Version: 1.06
PHP Version: 5.3

Wenn es danach geht, müsste doch jeder Shop betroffen sein, oder?


Vielen Dank für eure Hilfe!"	Bug/Fehler	closed	normal		Sicherheit	1.06	invalid