Apache::AuthDBI - seltsames verhalten (mod_perl und Apache)

[thread]17045[/thread]

Apache::AuthDBI - seltsames verhalten

Tags: perl5 Ähnliche Threads

Leser: 17

Articles: hide open all | hide show old branches

+22 replies
marky

2012-01-06 18:59

User since
2003-08-15
215 Artikel
BenutzerIn

Abend, ich verwende sehr of Apache Apache::AuthDBI für Admin-Logins - das ist einfachk, schnell und sauber. Nur gerade hat ein User von einem Fehler berichtet, den ich mir nicht erklären konnte und da bin mal ein bisschen auf die Suche gegangen und siehe da - da läuft was falsch.

Der Username checkt gegen ein int-Feld und ist die UserID und jetzt passiert folgendes, wenn man hier nicht nur zahlen eingibt, sondern auch andere Zeichen, dann klappt die Autorisierung trotzdem, also sagen wir mal der Username ist 2 - dann kann man sich auch mit

2asdjahdkljadh

einloggen, es scheint immer der String bis zur ersten Nichtzahl Verwendung zu finden. Daraus ergibt sich jetzt ein echte Sicherungslücke, wenn man den Input-String nochmal von Nicht-Zahlen säubert /\D+// - dann kann sich zb. mit

2aa2

mit dem User für 2 in den Account 22 einloggen usw. das finde ich irgendwie seltsam und das sollte doch eigentlich nicht sein. Ich gehe mal von, dass da ein einfaches = gemacht wird.

Liegt das an mysql oder ist das ein Bug - keine Ahnung was ich davon halten soll.

PS: Als schneller Workaround habe ich jetzt einfach mal
$ENV{'REMOTE_USER'} =~ s/^(\d+).*$/$1/ ; eingesetzt, aber
das kann es wirklich auch nicht sein.

Gruss Marky
Last edited: 2012-01-07 10:29:04 +0100 (CET)
Mfg
Markus - http://www.perlunity.de -
- +8 replies
- GwenDragon
  
  2012-01-07 10:18
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Und wie sieht deine Apache-Konfiguration aus?
  Oder verwendest du das in einem Perl-CGI oder mit mod_perl?
  
  Zeige doch mal Code und Konfiguration.
  Last edited: 2012-01-07 10:33:29 +0100 (CET)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +7 replies
  - marky
    
    2012-01-07 11:23
    
    User since
    2003-08-15
    215 Artikel
    BenutzerIn
    
    Hallo, das hat damit nichts zu tun, damit machst Du dann einfach eine htaccess über Datenbank im Script arbeitet ich nur mit dem REMOTE_USER - das seltsame ist einfach, dass irgendwas an der SQL-Abfrage nicht stimmt, ich konnte noch nicht genauer prüfen, was mysql da ggf. genau macht, aber tatsache ich, dass bei einem Zahlenfeld für den Vergleich nur die Zahlen bis zur ersten Nichtzahl verwendet werden.
    
    Ich teste nachher mal, ob das auf so per SQL einfach geht. Aber ich denke mal da müsste dann eigentlich ein Fehler kommen
    
    select * from passdb where id='1234asdfv'
    
    sollte jetzt eigentlich nicht "1234" treffen.
    
    Oder doch?
    Mfg
    Markus - http://www.perlunity.de -
    - +3 replies
    - GwenDragon
      
      2012-01-07 11:31
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Quote
      select * from passdb where id='1234asdfv'
      
      sollte jetzt eigentlich nicht "1234" treffen.
      Nein, das trifft nicht 1234.
      Wieso auch.
      SQL vergleicht direkt und hat da keinerlei LIKE, RLIKE oder REGEXP stehen.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +2 replies
      - jan
        
        2012-01-07 12:55
        
        User since
        2003-08-04
        2536 Artikel
        ModeratorIn
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
        
        mysql> select 1 = '1a'; +----------+ | 1 = '1a' | +----------+ | 1 | +----------+ 1 row in set, 1 warning (0.00 sec) mysql> select 1 != '1a'; +-----------+ | 1 != '1a' | +-----------+ | 0 | +-----------+ 1 row in set, 1 warning (0.00 sec) mysql> SHOW WARNINGS; +---------+------+----------------------------------------+ | Level | Code | Message | +---------+------+----------------------------------------+ | Warning | 1292 | Truncated incorrect DOUBLE value: '1a' | +---------+------+----------------------------------------+
        
        Server version: 5.1.49-3 (Debian)
        
        ist das bei dir anders?
        
        GwenDragon
        
        2012-01-07 13:21
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Hmm, ja. Das ist so. MySQL hat da eine Macke bei dem numerischen Vergleich.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +3 replies
    - GwenDragon
      
      2012-01-07 11:33
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Quote
      das hat damit nichts zu tun, damit machst Du dann einfach eine htaccess über Datenbank
      Woher soll ich wissen, was du genau machst. So eindeutig hast du das nicht beschrieben.
      
      Quote
      im Script arbeitet ich nur mit dem REMOTE_USER - das seltsame ist einfach, dass irgendwas an der SQL-Abfrage nicht stimmt,
      Solange es dein Geheimnis bleibt, wie das SQL und wie dein Programm ist, kann dir wohl niemand helfen.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +2 replies
      - marky
        
        2012-01-07 12:08
        
        User since
        2003-08-15
        215 Artikel
        BenutzerIn
        
        Tut mir leid, aber ich habe das genau beschrieben. Es geht um das Modul Apache::AuthDBI das ist ein eindeutig und das Problem ist ganz genau beschrieben - mit meinem Script hat das überhaupt nicht zu tun, es geht um die htaccess-Abfrage für den Benutzer und das Problem mit den Zahlen.
        
        Und ich habe es getestet
        SELECT * FROM user WHERE id = '1asdasdas'
        trifft auf 1 - das ist das Problem - das ist mir bisher einfach noch nicht untergekommen, weil ich sonst natürlich die Inputwerte überprüfe und bereinige - das macht das Modul natürlich nicht. Es müsste für die htaccess einen eigenen Typ geben, für die Abfrage mit nur Zahlen, damit die SQL-Query anders aufgebaut wird.
        
        Dann muss man das wirklich im Script direkt abfangen, was den REMOTE_USER angeht.
        
        Last edited: 2012-01-07 12:11:12 +0100 (CET)
        Mfg
        Markus - http://www.perlunity.de -
        
        GwenDragon
        
        2012-01-07 12:26
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Welchen Typ hat denn id?
        //EDIT: Wie ich das von oben interpretiere, ist der Username also numerisch und damit id auch INT.
        Dann castet MySQL das irgendwie und macht aus 2abc eben 2.
        
        Könnte damit zusammenhängen: http://dev.mysql.com/doc/refman/5.1/en/out-of-rang...
        Last edited: 2012-01-07 14:04:22 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +12 replies
- jan
  
  2012-01-07 12:52
  
  User since
  2003-08-04
  2536 Artikel
  ModeratorIn
  
  2012-01-06T17:59:54 marky
  2aa2
  
  mit dem User für 2 in den Account 22 einloggen usw. das finde ich irgendwie seltsam und das sollte doch eigentlich nicht sein. Ich gehe mal von, dass da ein einfaches = gemacht wird.
  
  aber nur, wenn dein einziger vergleich ist, ob die id von dem user existiert, und dann brauche ich nicht 2aa2 anzugeben, um mich in 22 einzuloggen, ich kann auch einfach 22 angeben. Aber wenn Du das Passwort prüfst, ist das doch vollkommen egal: wenn ich nicht das passwort von user 22 kenne, komme ich nicht in den account, egal, ob ich den user 22 oder 2aa2 schreibe. und wenn ich das passwort kenne, dann bin ich defakto user 22, ob ich ihn 22 oder 2aa2 schreibe.
  
  ich sehe das Problem nicht.
  - +6 replies
  - bianca
    
    2012-01-07 13:12
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2012-01-07T11:52:18 jan
    ich sehe das Problem nicht.
    
    Schön und vor allem prüfungssicher ist das aber nicht, wenn der Benutzername nur "ungefähr" stimmen braucht, um sich einzuloggen.
    10 print "Hallo"
    20 goto 10
    - +5 replies
    - jan
      
      2012-01-07 14:23
      
      User since
      2003-08-04
      2536 Artikel
      ModeratorIn
      
      deshalb nimmt man als usernamen ja auch kein int-feld.
      - +4 replies
      - marky
        
        2012-01-07 15:18
        
        User since
        2003-08-15
        215 Artikel
        BenutzerIn
        
        Das hat historische Gründe, aber jetzt konnte ich das Problem ja verifizieren und mit einem Regex beheben - allerdings muss ich auch sagen - ist das kein schlüssiges verhalten bei dem query.
        Mfg
        Markus - http://www.perlunity.de -
        
        +3 replies
        
        GwenDragon
        
        2012-01-07 15:39
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ich halte das Verhalten bei MySQL für einen Bug.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        jan
        
        2012-01-07 18:31
        
        User since
        2003-08-04
        2536 Artikel
        ModeratorIn
        
        Ich nicht. Das ist eben kontextabhängig. Nutzt man = bei einem int und vergleicht mit einem string, wird der zu einer nummer gemacht. mit like wäre 1 nicht mit "1a" identisch.
        ist doch bei perl nicht anders, 1 == "1a" aber 1 ne "1a".
        
        und: es gibt dabei auch warnings bei mysql. Also bug kann man es imho nicht nennen, eher design decision: was wollen die leute, wenn sie ein numerisches feld mit einem string vergleichen, einen fehler oder einen vergleich des feldes mit der numerischen interpretation des strings?
        
        GwenDragon
        
        2012-01-07 18:59
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Das ist dann eben aber ein "Feature" bei MySQL? Das Autocast ist mir bei SQL ungewohnt.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +5 replies
  - marky
    
    2012-01-07 14:10
    
    User since
    2003-08-15
    215 Artikel
    BenutzerIn
    
    Genau das ist das Problem man kommt mit der 2aaa2 mit dem Passwort von 2 in den Account von 22 rein - weil ja im Script ausgehe, dass die autorisierung über htaccess erfolgreich ist und arbeite dann nur noch mit dem remote_user weiter, der dann 22 ist - mit den Zugangsdaten von 2 autorisiert. das ist ja das Problem an der Sache - ich checke das Login ja nicht nochmal gegen zumal ich das passwort ja gar nicht habe, das ist ja das schön an htaccess über die DB. Der erspart man sich das komplette sessionmanagement.
    Mfg
    Markus - http://www.perlunity.de -
    - +2 replies
    - pq
      
      2012-01-07 14:22
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      also 2aaa2 wird hier zu 2 und nicht zu 22 (mysql 5.0.51)
      (finde es aber schade, dass man das nicht mit mysql strict mode abstellen kann - was macht postgres eigentlich hier? sqlite lehnt 2 = "2a" ab)
      
      daher verstehe ich das problem auch nicht ganz.
      wenn auch unschön, aber da die usernamen eh nur integer sind, erhöht es die unsicherheit kein bisschen, ob ich mich mit 2a oder 2 oder 2aaaaa in den account 2 einloggen kann.
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - GwenDragon
        
        2012-01-07 15:58
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        In SQlite3 ist 2 != "2a".
        Apache::AuthDBI klappt da.
        
        Also ein MySQL-Problem.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +2 replies
    - pq
      
      2012-01-07 14:36
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      2012-01-07T13:10:08 marky
      das ist ja das schön an htaccess über die DB. Der erspart man sich das komplette sessionmanagement.
      
      ohne sessions hast du aber wiederum das problem, dass du dich gegen CSRF absichern musst. mit session geht im einfachsten fall die session_id selber zusätzlich zum cookie im formular.
      wenn du basic auth und keine session hast, ist ein user per CSRF angreifbar, solange der browser offen ist (oder die basic auth daten nicht manuell per browserfunktion gelöscht wurden).
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - marky
        
        2012-01-07 15:20
        
        User since
        2003-08-15
        215 Artikel
        BenutzerIn
        
        Das ist bei der Anwendung kein Problem, wobei ich da ehrlich sagen muss, sehe ich im Vergleich zu anderen Lösungen nur ein sehr geringes Problem.
        
        Wobei ich zugeben muss, dass es nicht optimal ist, dass man sich nicht richtig ausloggen kann.
        
        Aber das ist eine historische sache, die sich auch nicht ändern lässt.
        Mfg
        Markus - http://www.perlunity.de -
- GwenDragon
  
  2012-01-07 13:23
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Notfalls mal $Apache::AuthDBI::DEBUG auf 2 setzen und dann im errorlog nachsehen, was da generiert wird.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2012-01-06 18:59.