Skip to content
{ 2006 12 31 }

SQL-Injection bei frosch-sportreisen.de

Im 23C3 Wiki wurde es bereits erwähnt: scheinbar haben eine ganze Reihe von Reiseportalen große Sicherheitslücken.

Eines der genannten Reiseportale ist frosch-sportreisen.de, das ich mir eben mal etwas näher angesehen habe.

Ich bin ziemlich geschockt, daß man sich mittels simpelster SQL-Injection in fremde Accounts einloggen kann, ohne das entsprechende Passwort zu kennen:

frosch-reisen nach login
frosch-reisen profil eines mitglieds

Bleibt nur zu hoffen, daß Frosch Sportreisen seine rund 4000 User über die hoffentlich bald gefixte Sicherheitslücke informiert.

Update 04.01.2007 16:20 Uhr

Nach einem kurzen Mailwechsel und einem sehr freundlichen Telefonat mit einem Techniker, der die Plattform für Frosch Sportreisen betreibt, scheint der SQL-Injection-Bug nun behoben zu sein. Der Techniker bestätigte, daß die Eingaben nicht geparst bzw. escaped wurden und so der Login ohne gültiges Passwort möglich war.

Nach einem kurzen Test meinerseits kann ich bestätigen, daß die von mir ausgenutzte Lücke nun nicht mehr zu funktionieren scheint.

Posted by Marcel on Sonntag, Dezember 31, 2006, at 17:01. Tagged Security. Follow any responses to this post with its comments RSS feed. Both comments and trackbacks are currently closed.

{ 2 } Comments

  1. Ottmen | 31. Dezember 2006 at 17:15 | Permalink

    Hmm ich wird sagen wenn Frosch Sportreisen das nicht macht kannst du ja die leutz drauf hinweisen wäre bestimmt nice wenn die ne mail bekommen hallo sie biken gern und treffen sich oft mit ihren freunden ^^ etc.

  2. IchDasIch | 3. Januar 2007 at 21:55 | Permalink

    ... hmm scheint mehr zu funzen :-(