User Input - escape & save (Perl/CGI)

[thread]15764[/thread]

User Input - escape & save

Leser: 16

Articles: hide open all | hide show old branches

+9 replies
roooot

2010-12-22 18:22

User since
2008-03-03
276 Artikel
BenutzerIn

Hi Leute,

ich jage meine User Eingaben zur Sicherheit durch URI::Escape uri_escape_utf8, damit Leute zumindest auf diesem Weg nichts böses anstellen können.
Nun speichere ich diese Eingaben aber in der Datenbank und dort stehen nun die ganzen "escapten" Zeichenketten drin. Das sieht erstens nicht gut aus und verbraucht auch deutlich mehr Speicherplatz. Als DB Modul benutze ich Rose::DB::Object.

Wie kann ich das nun handhaben, dass
a) die Usereingaben sicher sind und
b) man in der Datenbank nicht nur kryptische Zeichenketten hat?

Danke für eure Hilfe.
Viele Grüße :)
- renee
  
  2010-12-22 18:28
  
  User since
  2003-08-04
  14371 Artikel
  ModeratorIn
  
  Einfach dann escapen wenn es sein muss. Sprich wenn Du die Daten aus der DB ausliest und weiterverwendest.
  
  In der DB an sich sind die Usereingaben weder sicher noch unsicher...
  OTRS-Erweiterungen (http://feature-addons.de/)
  Frankfurt Perlmongers (http://frankfurt.pm/)
  --
  
  Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
  Perl-Entwicklung: http://perl-services.de/
- GwenDragon
  
  2010-12-22 18:52
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Usereingaben sind in CGI sicherheitshalber immer als unsicher zu betrachten und es kommt wiederum darauf an, wohin du sie später ausgibst.
  
  Lies bitte Perl FAQ perlsec und WWW Security Q14 ff.
  Verwende den taint-Modus in Perl.
  Filtere nach unsicheren Zeichen und lasse diese nicht.
  
  Last edited: 2010-12-22 18:57:51 +0100 (CET)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +6 replies
- roooot
  
  2010-12-23 00:21
  User since
  2008-03-03
  276 Artikel
  BenutzerIn
  Dazu auch nochmal eine Frage:
  
  Wie kann der User denn eine Eingabe wie folgende missbrauchen:
  
  Code (perl): (dl )
  
  1 2
  
  my $foo = CGI->new->param('foo'); print 'user: ' . $foo;
  
  Solange ich jetzt solche Art von Variablen nicht in exec, sysopen, open, system oder in Pfade oder so stecke, besteht trotzdem die Möglichkeit dadurch die Anwendung zu missbrauchen?
  Viele Grüße :)
  - +4 replies
  - renee
    
    2010-12-23 00:58
    
    User since
    2003-08-04
    14371 Artikel
    ModeratorIn
    
    wenn Du das an den Browser schickst und der User z.B. "<script>alert('test')</script>" eingibt, bekommt der User die JavaScript-Fehlermeldung. Das kann man natürlich noch ganz anders ausnutzen: Seiten in ein iframe packen u.ä.
    
    Alles was auf der HTML-Seite ausgegeben werden soll, sollte entsprechend escaped werden (bei HTML::Template::Compiled empfiehlt es sich z.B. default_escape zu benutzen).
    OTRS-Erweiterungen (http://feature-addons.de/)
    Frankfurt Perlmongers (http://frankfurt.pm/)
    --
    
    Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
    Perl-Entwicklung: http://perl-services.de/
    - +3 replies
    - roooot
      
      2010-12-23 10:45
      
      User since
      2008-03-03
      276 Artikel
      BenutzerIn
      
      Ich verwende sowieso HTML::Template::Pro und auch HTML::Entities mit encode_entities. Hab das gerade mal getestet und die <> werden wunschgemäß in < und > umgewandelt ;)
      
      Ich meinte eher, wie man Schwachstellen im Script ausnutzen kann um beispielsweise die Abfrage an die Datenbank zu verfälschen und z.B. die Passwort Hashes sich ausgeben zu lassen.
      Viele Grüße :)
      - +2 replies
      - renee
        
        2010-12-23 10:57
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        Ich gehe davon aus, dass Du die ?-Notation bei DBI verwendest ;-) Dann brauchst Du eigentlich nix zu befürchten, dass Dir jemand ein verfälschtes SQL-Statement unterschiebt.
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        roooot
        
        2010-12-23 11:05
        
        User since
        2008-03-03
        276 Artikel
        BenutzerIn
        
        Ich verwende wie oben erwähnt Rose::DB::Object, aber alle meine Versuche, iwas zu verfälschen gingen ins Leere. Scheint also doch robust zu sein.
        
        Danke euch für die Antworten.
        Viele Grüße :)
  - topeg
    
    2010-12-23 08:44
    
    User since
    2006-07-10
    2611 Artikel
    BenutzerIn
    
    So etwas lässt sich nutzen, indem man in eine Seite fremden Code (Javascript HTML CSS) ein schleust.
    Als Beispiel:
    Vor einiger Zeit (vor ~3 Jahren) habe ich mal etwas mit E-Bay herum gespielt. Zwar verboten sie Javascript in Angebotstexten, aber man konnte HTML einsetzten (weiß nicht ob sie das mittlerweile geändert haben) mit ein wenig HTML und CSS war es möglich eine völlig andere Seite über die vorhandenen zu legen, die identisch aussah nur andere Links hatte. Ich hätte eine Menge Schaden anrichten können.

View all threads created 2010-12-22 18:22.