Manipulierte TicketID wird an die DB übergeben

Hilfe zu OTRS Problemen aller Art
Post Reply
schulmann
Znuny wizard
Posts: 470
Joined: 20 Nov 2011, 16:08
Znuny Version: 6.5.4
Real Name: Schulmann

Manipulierte TicketID wird an die DB übergeben

Post by schulmann »

Hallo Community,

wenn die URL manuell verändert wird, z. B. https://xxx/otrs/index.pl?Action=AgentT ... TicketID=1[2 wird das "1[2" unverändert an die DB durchgereicht.
Könnte das ein Sicherheitsproblem sein bzw. wäre es sinnvoll, das in AgentTicketZoom abzufangen?

CD
Znuny6/Debian/ESXi
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Manipulierte TicketID wird an die DB übergeben

Post by reneeb »

Das spielt keine Rolle, da mit Platzhaltern gearbeitet wird und Sonderzeichen gequotet werden bevor die Datenbank abgefragt wird. Außerdem wird eine Abfrage gemacht, ob der User das Ticket überhaupt sehen darf.

Interessant ist, dass sich Datenbanken unterschiedlich verhalten:

MySQL "akzeptiert" die Zeichen anscheinend. Bei einem schnellen Test wurde bei "TicketID=123-1" das Ticket mit der ID 123 angezeigt (wenn man darauf Berechtigungen hat). PostgreSQL zeigt da eine Fehlerseite an, weil die Spalte ein BIGINT ist, 123-1 aber eine invalide Syntax für BIGINTs ist.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
schulmann
Znuny wizard
Posts: 470
Joined: 20 Nov 2011, 16:08
Znuny Version: 6.5.4
Real Name: Schulmann

Re: Manipulierte TicketID wird an die DB übergeben

Post by schulmann »

Hallo Renée,

Postgres erzeugt bei sowas einen Syslog-Eintrag mit der Priority "warning".
Von der Syslog-Überwachung bekommen wir dadurch immer wieder eigentlich unnötige Warnungen.
Mir wäre es deshalb lieber wenn das z. B. in AgentTicketZoom.pm in der Methode "Run" direkt nach "if ( !$Self->{TicketID} ) {" abgefangen würde.

CD
Znuny6/Debian/ESXi
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Manipulierte TicketID wird an die DB übergeben

Post by reneeb »

Dann musst Du aber jeden einzelnen Parameter überprüfen, weil Du z.B. bei der Ansicht eines Services auch die ID anpassen könntest etc.

Wenn Du eine einfache Lösung für die TicketID haben willst, schau Dir mal https://os.perl-services.de/perl-academ ... ain/preapp an.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
schulmann
Znuny wizard
Posts: 470
Joined: 20 Nov 2011, 16:08
Znuny Version: 6.5.4
Real Name: Schulmann

Re: Manipulierte TicketID wird an die DB übergeben

Post by schulmann »

reneeb wrote: 22 Apr 2022, 09:56 Wenn Du eine einfache Lösung für die TicketID haben willst, schau Dir mal https://os.perl-services.de/perl-academ ... ain/preapp an.
Hallo Renée,

danke, das kucke ich mir mal an.
Ich hatte einfach AgentTicketZoom.pm modifiziert weil bei uns bisher nur Manipulationen (eigentlich Fehler beim Cut&Paste) der TicketID aufgefallen sind.

CD
Znuny6/Debian/ESXi
Post Reply