Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Suche: SQL Fehler
#1
Hallo,

ich hab im Forum die Version, die im Profil bei mir angegeben ist.

Wenn ich unter "Suche" folgendes reinschreibe "<foo> <h1> <script> alert (bar) () ; // ' " > < prompt \x41 %42 constructor onload" bekomme ich folgende Fehlermeldung:

"
MyBB has experienced an internal SQL error and cannot continue.
SQL Error:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LOWER(t.subject) LIKE '%> < prompt \x41 \%42 constructor onload%')' at line 3
Query:
SELECT t.tid, t.firstpost FROM mybb_threads t WHERE 1=1 AND t.closed NOT LIKE 'moved|%' AND ( LOWER(t.subject) LIKE '%
"

Was kann ich dagegen machen?

Gruß
#2
Mal eine Gegenfrage.

Wieso gibt man denn solch eine Suchanfrage da ein ?
Mit freundlichen Grüßen

MrBrechreiz
#3
Ich wurd darüber gerade per PN auf meinem Forum aufmerksam gemacht.

Kann ich solche SQLi vorbeugen?
#4
Naja, wer dies eingibt bekommt den Fehler erzeugt, und nicht alle anderen. Von daher ist das nicht si tragisch.
Mit freundlichen Grüßen

MrBrechreiz
#5
Naja weit aus tragisch ist es nicht, jedoch würd ich dagegen was vornehmen. Gibt es keine Möglichkeiten, dies vorzubeugen?
#6
(31.10.2014, 16:56)KaSo schrieb: ...ich hab im Forum die Version, die im Profil bei mir angegeben ist.
Dann verschiebe ich das auch mal vom 1.8er Bereich in den Bereich von MyBB 1.6 Wink


Sei froh, dass Du eine Fehlermeldung erhältst. Mit so einem Unsinn kann man ein Forum mal ganz schnell aus den Fugen heben, wenn entsprechende Queries auch tatsächlich ausgeführt würden......
viele Grüße
Jockl
übersetzte und eigene Plugins
#7
Wenn die 1.6* noch in der Weiterentwicklung stecken würde, würde man bestimmt da einen Filter einbauen. Dies ist aber nicht der Fall, und es öffnet sich damit auch kein Sicherheitsloch.
Mit freundlichen Grüßen

MrBrechreiz
#8
Wenn ich das richtig verstanden habe, kann man das garnicht vorbeugen?
#9
Richtig
Mit freundlichen Grüßen

MrBrechreiz
#10
Der Bug wurde bereits mit MyBB 1.6.13 behoben. Allerdings handelt es sich hierbei um keine Sicherheitslücke.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.