StudiVZ: SQL-Injection-Methode entdeckt und geschlossen
Alexander Trust, den 14. Dezember 2006
Carsten de Vries hatte eine neue Sicherheitslücke im StudiVZ gefunden, genau genommen eine Möglichkeit zur SQL-Injection, mit der man die Datenbank kapern konnte.
De Vries hat den Hinweis auf die Sicherheitslücke erst veröffentlicht, als die Betreiber des StudiVZ diese bereits geschlossen hatten. In seinem Blogeintrag ging er bei der Beschreibung ins Detail.
SQL-Injection
Es handelte sich um eine SQL-Injection. Über den Prozess, seine eigene E-Mail-Adresse verändern zu wollen, erhält man einen URL an die E-Mail-Adresse geschickt, über die mittels einfacher Anhänge im URL ein „schmutziger“ Zugriff auf die Datenbank bei StudiVZ möglich gewesen wäre. Eine äußerst große Sicherheitslücke, die die Betreiber jedoch am gleichen Tag noch zu schließen vermochten. Prinzipiell hätten alle StudiVZ-Daten über diesen Weg gelöscht werden können.
Kinder, Kinder. Man stelle sich vor, eine Million Nutzer hätten sich „neu“ anmelden dürfen. Wie viele dann wohl genervt gesagt hätten „Nein, danke.“… Sehr freundlich also von Herrn de Vries, dass er den Betreibern und den Nutzern nicht „den“ Supergau schlechthin beschert hat. Gesetzt den Fall, die Betreiber haben eine ständige Datenbanksicherung, hätten Sie die Daten wieder aufspielen können. Dass eine Sicherung aber nicht immer hilfreich ist, wenn man das System zu sehr verändert, hat z. B. zuletzt der Betreiber von Blogg.de feststellen müssen.
Update vom 10.2.2014:
Sowohl die Webseite von Schäfers als auch diejenige von De Vries sind heute nicht mehr verfügbar. Deshalb haben wir die Links entfernen müssen.