Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Sicherheitslücke in Shop-System

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
mikrosaft
Member
Member
Beiträge: 62
Registriert: 6. Jun 2004, 17:35

Sicherheitslücke in Shop-System

Beitrag von mikrosaft » 18. Dez 2005, 13:48

Hallo Leute,

ich wollte gerade in einem Online-Shop etwas bestellen und habe festgestellt, dass ich mich in einem fremden Warenkorb mit vollem Zugriff auf alle Nutzerdaten befand.
Ein Deep-Link von Google hatte mich zu dem Shop geführt.
Eine kurze Google-Recherche hat ergeben, dass auch die Nutzerdaten anderer Kunden dieses Shops offen zugänglich waren.
Dass ich von einer Bestellung in diesem Shop und damit einer Eingabe meiner persönlichen Daten abgesehen habe ist ja klar.
Allerdings Frage ich mich nun, wie es zu einer solchen Sicherheitslück kommen kann...?
Die Links die Google ausgeworfen hat lagen in etwa so vor:

Code: Alles auswählen

http://www.shop-xyz.de/index.php?XTCsid=81fcb0f533890c608572236c111fcaea
Wie kommt Google an solche Links? Ein Link kann doch in dieser Form nur im Browsercache und im Webservercache vorliegen, oder?

Kann mich jemand erleuchten?

Gruss
ms

Werbung:
Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3148
Registriert: 25. Aug 2004, 02:13

Beitrag von robi » 18. Dez 2005, 14:21

Sowas kommt sicherlich davon, das immer mehr Arbeitgeber der Meinung sind, jeder ist ersetzlich und das auch noch für die Viertel des Gehaltes.
Wenn man zB. seine erfahrenen Programmierer und Webdesigner entläßt und darauf hofft, dass man, sollte man wieder mal jemanden brauchen nur einen Projektmanager braucht, der zwar überhaupt keine Ahnung von irgendwas hat, aber dafür im Umgang mit seinen untergebenen Mitarbeitern ein A....loch sonders gleichen ist, und die restlichen Leute die holt man sich einfach drausen von der Bushaltestelle und noch ein paar Praktikanten dazu. fertig.

Dann kommt genau sowas dabei raus. Die Frage ist nur, wo hat man dann letztlich Geld gespart ???? Aber das Prinzip verstehen nicht nur die entlassenen Programmierer und Webdesigner nicht.

robi

Klaus-D. Wenger
Hacker
Hacker
Beiträge: 271
Registriert: 24. Dez 2004, 12:03
Wohnort: Bremen
Kontaktdaten:

Re: Sicherheitslücke in Shop-System

Beitrag von Klaus-D. Wenger » 18. Dez 2005, 17:08

mikrosaft hat geschrieben:dass auch die Nutzerdaten anderer Kunden dieses Shops offen zugänglich waren.
Da dieser Anbieter vermutlich mehr als 5 Mitarbeiter hat unterliegt er dem Datenschutzgesetz. Ich würde ihn anschreiben und den Fehler mitteilen.
Ein Link kann doch in dieser Form nur im Browsercache und im Webservercache vorliegen, oder?
Kann aber auch im Cache des shop-systems liegen z.B. wenn es nur bei den bei php üblichen memory_limit = 8M (in der php.ini - bei grösseren System sollte man das auf 15 oder 20M stellen - Maximal geht aber nur 30M bei php) eingestellt ist, das eigene Volumen grösser ist und es sich verhaspelt hat und alles durcheinander wirft.

Tschau
Klaus
OpenSUSE 11.2
- Eine einfache Lösung aus de.comp.lang.php.misc Date: Tue, 07 Oct 2003 20:03:32:
>> Wenn ihr PHP zu Dokumentationszwecken ausdrucken müsst, was verwendet
>> ihr dann?

Einen Drucker?

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast