SQL-Injection bei Wordpress Plugins

SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. (mehr zu SQL-Injection in der Wikipedia) So beschreibt die Wikipedia SQL-Injection’s.

Durch meine Wordpress Fehlerlogs habe ich soeben entdeckt dass jemand versucht hat, über evtl. in meinem Blog installierte Plugins, eine SQL-Injection auszuführen.

Auszug aus den Logs:
/plugins/wp-cal/functions/editevent.php?id=-1\' /plugins/fgallery/fim_rss.php?album=-1\' /plugins/wp-adserve/adclick.php?id=-1+union+select+0x6875616B /plugins/wassup/spy.php?to_date=to_date /plugins/wordspew/wordspew-rss.php?id=id\' /plugins/st_newsletter/shiftthis-preview.php?newsletter=-1\' /plugins/st_newsletter/shiftthis-preview.php?newsletter=-1%22,,0,0,,,,

Wie man im Abschnitt Vorgang des Wikipedia Artikel lesen kann, wird versucht durch übergabe von Parametern die das Plugin an nimmt, Zusätzliche Befehle auszu führen.

Nach dem ‘ folgt in der Regel die Injection, leider kann ich nicht sehen was er versucht hat.

angriff, firewall, hack, hacker, injection, log, secruity, Server, sicherheit, sql

Print article

This entry was posted by Marco Krage on 8. November 2009 at 13:39, and is filed under Intern, Internet. Follow any responses to this post through RSS 2.0. Du kannst eine Antwort schreiben oder einen Trackback von deiner eigenen Seite hinterlassen.

Verwandte Beiträge
Kommentare (2)

#1 geschrieben von xenon
vor 4 Monaten

hmm – könnte mir eigentlich nur vorstellen, dass er versucht, durch eine nichtexistierende id (-1) irgendwas zu reissen. wäre mal interessant, wenn du den sql-code, der daraus generiert wird postest…
#2 geschrieben von Sinky
vor 3 Monaten

Hallo xenon: wie mache ich denn das? Ich habe diese Plugins ja garnicht nicht installiert.

Bisher keine Trackbacks.

13 Stunden Schicht – Exchange Migration

vor 3 Monaten - 2 Kommentare

Man, war das ein Tag heute …
Manuelle Organisationsübergreifende Exchnage 2000 > Exchange 2007 mirgration mit Öffentlichen Ordnern.
Mehr dazu in den nächsten Tagen. Muss jetzt schlafen, sehe nur noch Postfächer. 8WHUT8DDBGV3

Google Wave – Die neue Kommunikation im Internet

vor 9 Monaten - 1 Kommentar

Google Wave wurde jetzt auf der Google I/O Konferenz vorgestellt. Google Wave ist eine neuartige Plattform die die Zusammenarbeit und Komunikation zwischen zwei oder mehr Benutzern verbessern soll. Eingaben werden in Echtzeit zu allen eingebundenen Teilnehmern übertragen. Das ganze basiert auf HTML 5 und benötigt im grunde keine Erweiterungen/Plug-Ins für den Browser.
Wer sich für solche Mehr >

Backup Exec vs. Server 2008

vor 1 Jahr - Keine Kommentare

Die Installation eines neuen Backup Servers hatte ich mir eigentlich leichter vorgestellt als sie bis jetzt verläuft. Geplant ist ein Windows Server 2008 mit Backup Exec 12 und Ultrium 4 Bandlaufwerk in Chieftec Gehäuse auf Quadcore.
Es begann alles damit, dass das Mainboard mit RAM in Slot 3 und/oder 4 anlief aber weder Bild noch Ton Mehr >

IPod Touch

vor 2 Jahren - Keine Kommentare

Wer wie ich mit dem Gedanken spielt sich einen iPod Touch zu kaufen sollte abwägen ob er es nicht noch bis Ende Juni 2008 aushält. Denn dann soll das Firmware Update 2.0 erscheinen das es endlich möglich macht Fremdsoftware ohne Jailbreak #1 zu installieren.
Die 2.0 Firmware gibt es dann auch für das iPhone, allerdings soll Mehr >

70-284 bestanden

vor 2 Jahren - 12 Kommentare

Die letzte Prüfung Implementieren und Verwalten von Microsoft Exchange Server 2003 (70-284) war leichter als ich erwartet hatte. So konnte ich sie mit 820/1000 Punkten erfolgreich beenden und bin somit Microsoft Certified Systems Administrator Messaging (MCSA:M).

Übersicht
70-270 (969/1000 Punkten)
70-290 (871/1000 Punkten)
70-291 (800/1000 Punkten)
70-284 (820/1000 Punkten)

NO-COPY

vor 2 Jahren - Keine Kommentare

Der Film zum Buch über “Die Welt der digitalen Raubkopie”
Soundstory von 1-Live zu NO-COPY (50 min)

70-291 bestanden

vor 2 Jahren - 11 Kommentare

Heute hatte ich endlich die Möglichkeit, die Zertifizierungsprüfung 70-291 durchzuführen und auch zu bestehen (800/1000 Punkte). Diese Prüfung gilt auf dem Weg zum MCSA und auch des MCSE als eine der schwersten und ich bin froh sie endlich hinter mir zu haben. Die nun folgende Prüfung 70-284 beschäftigt sich mit dem Microsoft Exchange Server Mehr >

70-290 bestanden

vor 2 Jahren - 12 Kommentare

Schon im Oktober berichtete ich über die bestandene Microsoft Prüfung 70-270. Heute gegen 12 Uhr bin ich dem MCSA:M wieder einen Schritt näher gekommen und habe die Prüfung 70-290 mit 871/1000 Punkten bestanden. Dieser Prüfung wird in ca. 30 Tagen die 70-291 folgen. Die 70-291 beschäfftig sich leider hauptsächlich mit dem Thema Subnetting, TCP/IP Mehr >

70-270 bestanden

vor 2 Jahren - 4 Kommentare

Heute habe ich die Microsoft Prüfung 70-270 (Client XP) mit 969/1000 Punkten bestanden und bin damit Microsoft Certified Professional. Als nächstes auf dem Weg zum Microsoft Certified System Administrator Messaging kommt die Prüfung 70-290 (Server 2003).

Übersicht
70-270 (969/1000 Punkten)
70-290 (871/1000 Punkten)
70-291 (800/1000 Punkten)
70-284 (820/1000 Punkten)

SQL-Injection bei Wordpress Plugins

Bisher keine Trackbacks.

13 Stunden Schicht – Exchange Migration

Google Wave – Die neue Kommunikation im Internet

Backup Exec vs. Server 2008

IPod Touch

70-284 bestanden

NO-COPY

70-291 bestanden

70-290 bestanden

70-270 bestanden

Neue Kommentare

Tag cloud

Flickr

Tweets

SQL-Injection bei Wordpress Plugins

Bisher keine Trackbacks.

Neue Kommentare

Blogroll

Tag cloud

Flickr

Tweets