Mögliche SQL Injection Schwachstelle

Question

Einer unserer Kunden hat seine SoSci Installation (on premise) mit dem Sicherheits-Tool Nessus überprüft.

Dabei wurde von Nessus eine mögliche SQL Injection Möglichkeit gefunden:

Using the GET HTTP method, Nessus found that :
+ The following resources may be vulnerable to blind SQL injection :
+ The 'a' parameter of the /admin/index.php CGI :
/admin/index.php?l=eng&cookieCheck=yes&pre=&o=&loginPass=&loginName=&a=r etrievezzeng&cookieCheck=yes&pre=&o=&loginPass=&loginName=&a=retrieveyy
-------- output -------- <head>
<title>Forgot Login or Passwort</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> -------- vs --------
<head>
<title>Login</title>
 survey.xxxxx.tld 251
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> ------------------------
+ The 'pre' parameter of the /admin/index.php CGI :
/admin/index.php?l=eng&a=retrieve&cookieCheck=yes&o=&loginPass=&loginNam e=&pre=zzeng&a=retrieve&cookieCheck=yes&o=&loginPass=&loginName=&pre=yy
-------- output --------
<div style="display: inline-block; float: right; margin: 2px 12px [...] <div class="op spacing" style="width: 16px"></div>
<a href="?a=retrieve&amp;cookieCheck=yes&amp;o=&amp;loginPass=&amp;login Name=&amp;pre=&amp;l=ger" class="op" style="width: auto" title="Deutsch" ><img src="../images/flag.deu.svg" class="langSymbol unselectable" style ="width: 30px; height: 18px;" alt="ger" title="Deutsch"></a><a hre [...] <img src="../layout/GlobalBar.logo.svg" alt="" style="height: 18px [...] <div style="display: inline-block; vertical-align: top; margin: 2p [...]
-------- vs --------
<div style="display: inline-block; float: right; margin: 2px 12px [...] <div class="op spacing" style="width: 16px"></div>
<a href="?a=retrieve&amp;cookieCheck=yes&amp;o=&amp;loginPass=&amp;login Name=&amp;pre=yy&amp;l=ger" class="op" style="width: auto" title="Deutsc h"><img src="../images/flag.deu.svg" class="langSymbol unselectable" sty le="width: 30px; height: 18px;" alt="ger" title="Deutsch"></a><a h [...] <img src="../layout/GlobalBar.logo.svg" alt="" style="height: 18px [...] <div style="display: inline-block; vertical-align: top; margin: 2p [...]
------------------------

Der Kunde möchte jetzt eine Einschätzung, ob wirklich von einer Gefahr auszugehen ist.
Gibt es hier Erfahrungswerte?

Answer 1

Es ist beabsichtigt, dass der Parameter "a" als neuer Parameter "pre" im Login-Formular auftaucht (dies ist der Unterschied, den man zwischen output und vs beobachten kann). Dort wird die vorherige Anfrage abgelegt, damit man nach dem Login zum korrekten Bereich von SoSci Survey kommt.

Wie Ihr Kunde darauf kommt, dass es sich hierbei um eine MySQL-Injection handeln könnte, kann ich nicht nachvollziehen. Wenn überhaupt, würde man so etwas meiner Meinung nach als Hinweis auf eine mögliche Cross-Site-Scripting (XSS) Lücke sehen.

Der Kunde möchte jetzt eine Einschätzung, ob wirklich von einer Gefahr auszugehen ist.

Meine Einschätzung ist, dass es sich hierbei um einen false positive handelt.

Was ich nicht ganz erklären kann, sind einige Leerzeichen im obigen Code. Aber ich gehe stark davon aus, dass das beim Kopieren einer mehrzeiligen Ausgabe aus Nessus eingefügt wurde.

Comments

Vielen Dank für die schnelle Antwort. Ich teile Ihre Einschätzung, dass es sich um einen False Positive handelt. Die Leerzeichen sind ziemlich sicher durch Copy/Paste entstanden.