Hausübung Aufgabe 4 SQL Injection and XSS

Thorsten Peter
Windoof-User
Windoof-User
Beiträge: 27
Registriert: 18. Mai 2009 23:40

Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von Thorsten Peter »

Hallo,

kann es sein, dass im Quellcode zu dieser Aufgabe in der Datei Application.java, Zeile 61, ein "else" fehlt? D.h.:

Code: Alles auswählen

else if (username != "") { ... }
anstatt

Code: Alles auswählen

if (username != "") { ... }
Denn so wie es momentan ist, muss man nur einen Usernamen eingeben und das Passwortfeld leerlassen und man ist eingeloggt. Ichj glaube nicht, dass das die Absicht war oder?

EDIT: Das alleine reicht offensichtlich aber noch nicht aus. Muss wohl noch eine Kleinigkeit geändert werden.

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

Hallo Thorsten,

danke. Du hast tatsächlich eine nicht gewollte Möglichkeit gefunden sich einzuloggen.

Code: Alles auswählen

			else
			{
				username="";
			}
müsste an Zeile 61 eingefügt werden.

Update wird demnächst auch auf der Webseite sein.

Viele Grüße,
Marco

Benutzeravatar
JanM
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 157
Registriert: 24. Aug 2010 10:58

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von JanM »

Ich wollte mal fragen was genau damit gemeint ist eine session zu stehlen.
Sorry, wenn die Frage etwas ungenau gestellt ist, aber ich will nix verraten... ;)

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

...manchmal auch als Session Hijacking bekannt. Google kann hier eigentlich ganz gut helfen :)
Erklärungen, wie eine Webanwendung funktioniert können wir gerne in der Sprechstunde machen.

Benutzeravatar
RT89
Erstie
Erstie
Beiträge: 12
Registriert: 8. Nov 2010 16:44

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von RT89 »

Hallo!

Ich hätte da noch eine Frage bzgl der Session Hijacking Aufgabe... es steht ja in der Aufgabenstellung , dass die AttackerApplication.java Cookies speichern soll... das macht die aber doch nicht wirklich, oder? Ich meine, wir sollen jetzt mal so tun, als ob das der Server eines Angreifers ist und wir mit dem theoretisch den Cookie des Benutzers speichern könnten, hab ich das richtig verstanden? :?:


Vielen Dank im Voraus!

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

Ich verstehe nicht genau was ich beantworten soll :)
Also der AttackerApplication sollte die letzten übermittelten Daten anzeigen, wenn man ihn im Browser aufruft. Somit kann man den Browser schließen (allerdings dabei den Attacker weiter ausführen) und bei einer neuen Browserinstanz sich die Daten ansehen.

In einem real life setting würde der Angreifer bestimmt eine Datenbank nutzen um mehr als nur ein Cookie zu klauen - Man weiß ja nicht genau, ob die Session schon abgeschlossen wurde.

Und ja, man muss sich vorstellen, dass es verschiedene Server sind...war hier ein wenig schwer umzusetzen :-)

Viele Grüße,
Marco

Benutzeravatar
RT89
Erstie
Erstie
Beiträge: 12
Registriert: 8. Nov 2010 16:44

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von RT89 »

marco_ghiglieri hat geschrieben:Ich verstehe nicht genau was ich beantworten soll :)
Naja, die Frage war auch n bisschen dumm formuliert :oops: Also ich wollte eigentlich ja nur wissen, was genau als Ergebnis bei dieser Aufgabe erwartet wird. Ich hätte mich jetzt hingesetzt und ein Stückchen JavaScript geschrieben, was den Cookie-Inhalt an den Attacker-Server übermittelt und den Code dann über die Comment-Box-Lücke eingeschleust, sodass der Nutzer davon nichts mitkriegen sollte. Ist das so ok?

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

Achso ja. Es ist eine Beschreibung inkl. Code gefragt, was getan werden muss um an die Session ranzukommen und dann später als Attacker das, was man bekommen hat wieder nutzt um sich einzuloggen....
Also:
1. Wie rankommen ?
2. Wie nutzen ? :)

mister_tt
Kernelcompilierer
Kernelcompilierer
Beiträge: 502
Registriert: 29. Sep 2008 15:54

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von mister_tt »

Sehe ich es richtig, dass http://127.0.0.1:4000/?cookie=I_am_a_co ... se_me_here aber nicht wirklich einen Cookie speichert? Wofür steht cookie bzw. location genau?

Und wo im Code wird bei der "normalen" Applikation überhaupt der Cookie gesetzt? Ich finde da nichts...

Viele Grüße und Danke,
Simon

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

mister_tt hat geschrieben:Sehe ich es richtig, dass http://127.0.0.1:4000/?cookie=I_am_a_co ... se_me_here aber nicht wirklich einen Cookie speichert? Wofür steht cookie bzw. location genau?

Und wo im Code wird bei der "normalen" Applikation überhaupt der Cookie gesetzt? Ich finde da nichts...

Viele Grüße und Danke,
Simon
Naja es speichert genau genommen jeweils die letzten übermittelten Werte. Man muss sich halt als Attacker überlegen, welche Dinge man braucht, wenn man nicht am gleichen Rechner sitzt. Man sollte sich auch kurz überlegen, was ein Cookie ist (Tupel aus Key und Textstring).
Das Cookie wird vom verwendeten Framework gesetzt. Sollte sich in der Doku vom Simpleframwork finden lassen. (Link ist auf dem Aufgabenblatt).

Weiter oben wurde auch schon angedeutet mit welchem Hilfsmittel man an das Cookie kommt...

f_jakob
Mausschubser
Mausschubser
Beiträge: 50
Registriert: 27. Okt 2009 14:05

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von f_jakob »

Hi zusammen,

bei mir gab es Probleme, weil ich das Projekt in einem Pfad liegen hatte, der Leerzeichen enthält.
Im Anhang ist ein Patch für das Problem. Es geht um die Datei src/BasicContainer.java.

Hoffe ich kann jemandem damit helfen :)
Dateianhänge
0001-Adds-support-for-spaces-in-path.txt
(862 Bytes) 103-mal heruntergeladen

mister_tt
Kernelcompilierer
Kernelcompilierer
Beiträge: 502
Registriert: 29. Sep 2008 15:54

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von mister_tt »

marco_ghiglieri hat geschrieben:Naja es speichert genau genommen jeweils die letzten übermittelten Werte. Man muss sich halt als Attacker überlegen, welche Dinge man braucht, wenn man nicht am gleichen Rechner sitzt. Man sollte sich auch kurz überlegen, was ein Cookie ist (Tupel aus Key und Textstring).
Das Cookie wird vom verwendeten Framework gesetzt. Sollte sich in der Doku vom Simpleframwork finden lassen.
Mir ist klar, was ich als Attacker brauche und weiß auch, wie ich da ran komme. Dennoch stellt sich für mich immer noch die Frage: Wenn ich http://127.0.0.1:4000/?cookie=I_am_a_co ... se_me_here aufrufe, wird nicht wirklich ein Cookie gespeichert, oder ist bei mir was faul?

Habe auch nicht in der Simleframework Doku gefunden, an welcher Stelle ein Cookie gespeichert wird...

f_jakob
Mausschubser
Mausschubser
Beiträge: 50
Registriert: 27. Okt 2009 14:05

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von f_jakob »

mister_tt hat geschrieben:Wenn ich http://127.0.0.1:4000/?cookie=I_am_a_co ... se_me_here aufrufe, wird nicht wirklich ein Cookie gespeichert, oder ist bei mir was faul?
Bei dem Aufruf wird kein Cookie im Browser gesetzt, falls du das meinst. Es wird lediglich das cookie-location-Paar gespeichert und beim nächsten Aufruf der Seite (ohne Parameter) wieder angezeigt. Ein Cookie im Browser wird nur von http://localhost:8080/ gesetzt.

marco_ghiglieri
Mausschubser
Mausschubser
Beiträge: 46
Registriert: 6. Jun 2011 09:29

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von marco_ghiglieri »

f_jakob hat geschrieben:
mister_tt hat geschrieben:Wenn ich http://127.0.0.1:4000/?cookie=I_am_a_co ... se_me_here aufrufe, wird nicht wirklich ein Cookie gespeichert, oder ist bei mir was faul?
Bei dem Aufruf wird kein Cookie im Browser gesetzt, falls du das meinst. Es wird lediglich das cookie-location-Paar gespeichert und beim nächsten Aufruf der Seite (ohne Parameter) wieder angezeigt. Ein Cookie im Browser wird nur von http://localhost:8080/ gesetzt.
Ja, das stimmt.

haarigesmonster2
Neuling
Neuling
Beiträge: 7
Registriert: 30. Sep 2009 12:55

Re: Hausübung Aufgabe 4 SQL Injection and XSS

Beitrag von haarigesmonster2 »

Hi,
habe irgendwie ein Verständnisproblem
Before you can start with this excerise install the project
wie und was soll ich den installieren?

Antworten

Zurück zu „Archiv“