Hallo Community,
wenn die URL manuell verändert wird, z. B. https://xxx/otrs/index.pl?Action=AgentT ... TicketID=1[2 wird das "1[2" unverändert an die DB durchgereicht.
Könnte das ein Sicherheitsproblem sein bzw. wäre es sinnvoll, das in AgentTicketZoom abzufangen?
CD
Manipulierte TicketID wird an die DB übergeben
-
- Znuny wizard
- Posts: 470
- Joined: 20 Nov 2011, 16:08
- Znuny Version: 6.5.4
- Real Name: Schulmann
Manipulierte TicketID wird an die DB übergeben
Znuny6/Debian/ESXi
-
- Znuny guru
- Posts: 5018
- Joined: 13 Mar 2011, 09:54
- Znuny Version: 6.0.x
- Real Name: Renée Bäcker
- Company: Perl-Services.de
- Contact:
Re: Manipulierte TicketID wird an die DB übergeben
Das spielt keine Rolle, da mit Platzhaltern gearbeitet wird und Sonderzeichen gequotet werden bevor die Datenbank abgefragt wird. Außerdem wird eine Abfrage gemacht, ob der User das Ticket überhaupt sehen darf.
Interessant ist, dass sich Datenbanken unterschiedlich verhalten:
MySQL "akzeptiert" die Zeichen anscheinend. Bei einem schnellen Test wurde bei "TicketID=123-1" das Ticket mit der ID 123 angezeigt (wenn man darauf Berechtigungen hat). PostgreSQL zeigt da eine Fehlerseite an, weil die Spalte ein BIGINT ist, 123-1 aber eine invalide Syntax für BIGINTs ist.
Interessant ist, dass sich Datenbanken unterschiedlich verhalten:
MySQL "akzeptiert" die Zeichen anscheinend. Bei einem schnellen Test wurde bei "TicketID=123-1" das Ticket mit der ID 123 angezeigt (wenn man darauf Berechtigungen hat). PostgreSQL zeigt da eine Fehlerseite an, weil die Spalte ein BIGINT ist, 123-1 aber eine invalide Syntax für BIGINTs ist.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
-
- Znuny wizard
- Posts: 470
- Joined: 20 Nov 2011, 16:08
- Znuny Version: 6.5.4
- Real Name: Schulmann
Re: Manipulierte TicketID wird an die DB übergeben
Hallo Renée,
Postgres erzeugt bei sowas einen Syslog-Eintrag mit der Priority "warning".
Von der Syslog-Überwachung bekommen wir dadurch immer wieder eigentlich unnötige Warnungen.
Mir wäre es deshalb lieber wenn das z. B. in AgentTicketZoom.pm in der Methode "Run" direkt nach "if ( !$Self->{TicketID} ) {" abgefangen würde.
CD
Postgres erzeugt bei sowas einen Syslog-Eintrag mit der Priority "warning".
Von der Syslog-Überwachung bekommen wir dadurch immer wieder eigentlich unnötige Warnungen.
Mir wäre es deshalb lieber wenn das z. B. in AgentTicketZoom.pm in der Methode "Run" direkt nach "if ( !$Self->{TicketID} ) {" abgefangen würde.
CD
Znuny6/Debian/ESXi
-
- Znuny guru
- Posts: 5018
- Joined: 13 Mar 2011, 09:54
- Znuny Version: 6.0.x
- Real Name: Renée Bäcker
- Company: Perl-Services.de
- Contact:
Re: Manipulierte TicketID wird an die DB übergeben
Dann musst Du aber jeden einzelnen Parameter überprüfen, weil Du z.B. bei der Ansicht eines Services auch die ID anpassen könntest etc.
Wenn Du eine einfache Lösung für die TicketID haben willst, schau Dir mal https://os.perl-services.de/perl-academ ... ain/preapp an.
Wenn Du eine einfache Lösung für die TicketID haben willst, schau Dir mal https://os.perl-services.de/perl-academ ... ain/preapp an.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
-
- Znuny wizard
- Posts: 470
- Joined: 20 Nov 2011, 16:08
- Znuny Version: 6.5.4
- Real Name: Schulmann
Re: Manipulierte TicketID wird an die DB übergeben
Hallo Renée,reneeb wrote: ↑22 Apr 2022, 09:56 Wenn Du eine einfache Lösung für die TicketID haben willst, schau Dir mal https://os.perl-services.de/perl-academ ... ain/preapp an.
danke, das kucke ich mir mal an.
Ich hatte einfach AgentTicketZoom.pm modifiziert weil bei uns bisher nur Manipulationen (eigentlich Fehler beim Cut&Paste) der TicketID aufgefallen sind.
CD
Znuny6/Debian/ESXi