Jump to content
xt:Commerce Community Forum

Search the Community

Showing results for tags 'sqlinjection'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • xt:Commerce - Professionelle eCommerce Shopsoftware
    • Fragen zur Software
    • xt:Commerce Plugins
    • xt:Commerce 4 Sprachen
    • xt:Commerce Online Handbuch
    • Häufige Fragen (FAQ)
    • Fragen zur Software (Pre Sale)
    • Anleitungen - Patches - Downloads
  • xt:Commerce Office - Shop & Warenwirtschaft
    • Allgemeine Fragen
  • xt:Commerce Allgemein
  • xt:Commerce 3 Shopsoftware Community Area (nur Lesen)
    • Allgemeine Diskussionen
    • Installation und Konfiguration
    • Shopbereich
    • Admininterface
    • Modul Entwicklung
    • Template System
    • xt:Commerce Schnittstellen ERP Systeme
    • PHP & MysQL Forum
    • HTML & CSS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


AIM


MSN


ICQ


Yahoo


Jabber


Skype


Location


Interests


Biografie


Wohnort


Interessen


Beruf

Found 2 results

  1. Sieht diese E-Mail für euch nach einem Hacker-Angriff aus? mysql error: [1048: Column 'customer_id' cannot be null] in EXECUTE("I N S E R T I N T O xt_plg_customer_bankaccount ( CUSTOMER_ID, BANKTRANSFER_OWNER, BANKTRANSFER_BANK_NAME, BANKTRANSFER_BLZ, BANKTRANSFER_NUMBER, BANKTRANSFER_IBAN, BANKTRANSFER_BIC ) VALUES ( null, 'Lothar xxx', 'Berliner Sparkasse', '10050xxx', '601xxxxxx', 'DE0310050xxx601xxxxxx', 'BELADEBEXXX' )")[/CODE] P. S. Die diverse "xx" und Leerzeichen wurden natürlich von mir gesetzt!
  2. Vielleicht gibt's ja einen Sicherheitspatch, den ich nicht gefunden habe, in neueren Shopversionen könnte diese Lücke auch schon längst geschlossen sein: Über eine Lücke in inc/xtc_db_error.inc.php kann ein Angreifer kompletten Lesezugriff auf die Datenbank bekommen wenn er popup_image.php per SQL-Injection angreift. In dokumentierten Fällen wurden damit Kundendaten (Name, Vorname, email, verschlüsseltes Passwort) gestohlen. Zum Glück waren keine Zahlungsinformationen wie Bankdaten oder Kreditkartendaten in der Datenbank. Das Loch lässt sich ganz einfach schließen indem man in der Datei im Verzeichnis inc "xtc_db_error.inc.php" folgende Zeile die('<font color="#000000"><b>' . $errno . ' - ' . $error . '<br /><br />' . $query . '<br /><br /><small><font color="#ff0000">[XT SQL Error]</font></small><br /><br /></b></font>');[/PHP]durch [PHP]die('<font color="#000000"><b>Database error</b></font>');[/PHP]ersetzt.
×
×
  • Create New...