Seite 2 von 2

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Verfasst: So 27. Feb 2011, 18:08
von Doc Olson
Xantiva hat geschrieben:Ups, Danke.

Ich hatte das gestern nur im Adminbereich gepostet und Doc hat es schon mit rev. 1988 eingebaut.
Wieder Uups. Das, was ich eingebaut hatte, bezog sich nur auf den Inputfilter des Webs-Shop.

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Verfasst: So 27. Feb 2011, 20:00
von blackshadow
Hallo,

bitte für dei nicht-Programmierer :oops:

Sollte das nun so aussehen:

Code: Alles auswählen

 function xtc_validate_email($email) {
    $valid_address = true;
    
  	 ## Bugfix for nullbyte injection. More: http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/
	 str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;

    $mail_pat = '^(.+)@(.+)$';
oder so?

Code: Alles auswählen

function xtc_validate_email($email) {
    if (strpos($email,"\0")!==false) {return false;}
    
## Bugfix for nullbyte injection. More: http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/
str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;

    $valid_address = true;

    $mail_pat = '^(.+)@(.+)$';
bin da bißchen unsicher.

Danke!

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Verfasst: So 27. Feb 2011, 20:30
von Doc Olson
str_replace?
Also ich würd's so machen:

Code: Alles auswählen

function xtc_validate_email($email) {
    if (
        strpos($email, "\0") !== false ||
        strpos($email, "\x00") !== false ||
        strpos($email, "\u0000") !== false ||
        strpos($email, "\000") !== false 
    ) {
        return false;
    }
   
    $valid_address = true;
   [...]

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Verfasst: Mo 28. Feb 2011, 07:46
von blackshadow
Hi Doc Olsen

danke für das Schnipsel!

Das mit str_replace stammt von hier http://www.monkey-business.biz/1586/xtc ... injection/ - fsck nannte die Quelle.

VG
BS