[Ben]

Hallo,
ich habe kürzlich ein Interview mit Stefan Esser gelesen und habe eine Frage zu einer Aussage von ihm.

Zitat:

When I saw how WordPress accepted arbitrary charsets and decoded data just before using it in database queries I knew immediately that UTF7 could be used to get an SQL injection through.

Was genau meint er damit?

Kann mir das eventuell jemand erklären?
Danke im Voraus.

Grüße, Ben.

[Corvin]

Zitat:

Zitat von http://www.acunetix.com/vulnerabilities/WordPress-v.2.0.5-Trackba.htm

WordPress supports decoding trackbacks with different charsets when PHP's mbstring extension is activated. Because the decoding happens after the database escaping is performed choosing the right charset for the input data allows bypassing the protection against SQL injection.

[Ben]

Heißt also, dass "input" erst "escaped" und danach dekodiert wird, so dass der eigentliche "input" dann ungehindert "zuschlagen" kann?

[Corvin]

Ja, ich denke, so ist das gemeint.. aber habe davon auch keine Ahnung

[Ben]

Ich muss mir mal etwas genauer anschauen, was UTF-7 eigentlich ist und warum gerade dieser Zeichensatz dort erwähnt wurde.
Wenn mir da noch jemand auf die Sprünge helfen kann, dann immer her mit den Informationen.

[mepeisen]

UTF-7 ist kein regulärer Zeichensatz, wie man das von anderen her kennt. Vielmehr ist es eine Art Kodierung für Unicode, bei der nur 7 Bit verwendet und berücksichtigt werden. Entsprechend gibt es einen Overhead.

Das Problem ist hier wohl, dass das Gänsefüßchen, also der Ursprung aller SQL-Injection, so kodiert werden muss, dass es verfälscht bzw. maskiert ist. Wenn man nun beim Auslesen davon ausgeht, dass "a" == "a" ist, hat man verloren. Denn wenn das erste a als UTF-7 ankommt, das zweite aber in der Datei als UTF-8 kodiertes reguläres Zeichen steht, stimmen sie nicht überein und voila, man hat was durchgeschleust.

Ich finde es aber höchst seltsam, dass man erst maskiert und dann noch die Strings rummanipuliert, bevor man sie endgültig in ein Query einsetzt. Das ist wirklich farlässig, so einem Entwickler gehört der Denne übern Scheitel gezogen (Denne ist bei uns auffer Arbeit ein DB/2-Handbuch ind zwei Bänden, je 5 Kilo schwer *g*).

[Ben]

Hallo,
so ganz habe ich deine Erläuterung

Zitat:

Zitat von mepeisen

Wenn man nun beim Auslesen davon ausgeht, dass "a" == "a" ist, hat man verloren. Denn wenn das erste a als UTF-7 ankommt, das zweite aber in der Datei als UTF-8 kodiertes reguläres Zeichen steht, stimmen sie nicht überein und voila, man hat was durchgeschleust.

nicht verstanden.

Könntest du mir eventuell ein "konkretes" Beispiel geben, wie so etwas letztlich aussehen würde?
Ich verstehe nicht, wie man so etwas "durchschleusen" könnte.

Klar ist mir bislang, dass das "a" in UTF-7 ungleich der entsprechenden UTF-8-kodierten "Zeichenkette" ist. Wie dort nun etwas durchgeschleust werden könnte .. da steh ich auf dem Schlauch.

Danke.

[robo47]

vielleicht kein konkretes Beispiel, aber mal eins um zu verdeutlichen wie ich denke dass sowas funktioniert, als beispiel die abfrage eines Logins, die die UserId abruft und username + passwort überprüft

Query: SELECT id WHERE username='$var1' AND password='$var2';
code:

PHP-Code:

$var1 = mysql_escape_string($_POST['username']);
$var2 = mysql_escape_string($_POST['password']);
$var1 = transform_utf7_to_utf8($var1);
$var2 = transform_utf7_to_utf8($var2)
$query = mysql_query("SELECT id WHERE username='".$var1."' AND password='".$var2."'"); 


dann haben wir $var2 das ist in UTF-8 von mir aus: ' OR id > 0 OR password = '
[das ' gehört dazu!]
in UTF-7 kommt da jetzt z.b. sowas raus: &§ OR id &/ 0 OR password &( &§
nichts davon wird von mysql_escape_string verändert, weil ja keine ' oder ähnliche vorkommen. Dann kommt transform_utf7_to_utf8() und wandelt das "&§ OR id &/ 0 OR password &( &§" wieder in "' OR id > 0 OR password = '" um und das ' am Anfang des Strings ist wieder da.

Nur zur verdeutlichung, mir ist klar, dass die UTF-7-Variante des Strings wohl kaum so aussieht wie oben, aber es sollte das Schema wie das ganze abläuft verdeutlichen, auch eine Funktion transform_utf7_to_utf8() ist einfach gerade beim tippen meiner Phantasie entsprungen.



mfg
robo47

[Ben]

Ahso.
Jau. Ich danke dir. Gar nicht so schwer zu verstehen, das Ganze.