https://www.amino.dk:443/forums/35.aspx?utm_source=rss&utm_medium=rss&utm_campaign=rss-feed<p>Hvor finder jeg den bedste hosting til min hjemmeside eller webshop? Hvad er priserne og mulighederne? Skal jeg vælge danske eller udenlandsk? Der er mange spørgsmål, når man skal vælge webudbyder og derfor har vi oprettet dette forum, hvor aminoer deler deres erfaringer om servere og ehandelsplatforme – og beslægtede emner. Det er nemlig også her vi snakker IP-telefoni, betalingsløsninger, opsætning af trådløse netværk samt fordele og ulemper ved nye teknologier.</p> <p>Så hvis du søger råd om en SMS-gateway, en 3D-scanner eller blot et plugin til WordPress, så er forummet her et god sted at starte.</p>daCommunityServer 2008.5 SP2 (Debug Build: 40407.4157)https://www.amino.dk:443/forums/thread/1886027.aspx?utm_source=rss&utm_medium=rss&utm_campaign=rss-feedThu, 10 Feb 2022 16:08:51 GMT426ea658-be4c-49d4-a865-b6f342788162:1886027albert@computernoerderne.dk0https://www.amino.dk:443/forums/thread/1886027.aspx?utm_source=rss&utm_medium=rss&utm_campaign=rss-feedhttps://www.amino.dk:443/forums/commentrss.aspx?SectionID=35&PostID=1886027&utm_source=rss&utm_medium=rss&utm_campaign=rss-feed<p>Det er lige kommet frem, at ovenn&aelig;vnte plugin, som efter sigende er installeret p&aring; over 600.000 WordPress-sider indeholder et sikkerhedshul i kategorien SQL Injection - og som kan anvendes af hackere UDEN p&aring; den ene eller anden m&aring;de v&aelig;re godkendt som bruger p&aring; den p&aring;g&aelig;ldende side. Alts&aring; ALLE brugere kan i teorien g&oslash;re det, hvis de bare ved hvordan. Jeg kommer med et eksempel om lidt - men bare rolig, det eksempel vil ikke virke i virkeligheden.<br /><br />Har du WordPress Statistics Plugin, s&aring; r&aring;des det p&aring; det kraftigste at du opdaterer det til den nyeste version, for at undg&aring; at dit website bliver hacket!!!</p> <p>Kort om SQL Injection:</p> <p>SQL er det &quot;sprog&quot; der benyttes til at kommunikere mellem websitet og den bagliggende database. N&aring;r der er brug for at f&aring; data ud af databasen, eller &aelig;ndre i databasen, sendes der en s&aring;kaldte QUERY, som indeholder noget af de informationer, der skal bruges af databasen. S&aring; s&aelig;t nu at der er en s&oslash;gefunktion p&aring; hjemmesiden, og der er ikke beskyttet mod SQL Injection. Du har indtastet et s&oslash;geord &quot;Hej&quot;, s&aring; indeholder denne QUERY ordet &quot;Hej&quot;. Her er det vigtigt, at s&oslash;geordet bliver &quot;renset&quot;, for at undg&aring; at databasen bliver manipuleret.</p> <p><br />Den normale QUERY ville (meget forenklet) se ud i retningen af:&nbsp;SELECT * FROM `wpa_posts` WHERE `post_content` LIKE &#39;%Hej%&#39;</p> <p>Det betyder at der ledes i en tabel der hedder wpa_posts, hvor feltet &quot;post_content&quot; indeholder ordet &quot;Hej&quot;.</p> <p>Men s&aelig;t nu at s&oslash;geordet ikke er &quot;Hej&quot; men ...</p> <p>Hej%&#39; AND 1=2&nbsp; UNION ALL SELECT ID,user_login,user_pass,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID FROM wpa_users;--&nbsp;</p> <p>Og s&oslash;geordet vil ikke blive &quot;renset&quot;.</p> <p>S&aring; vil det F&Oslash;RSTE s&oslash;geresultat jeg ser, v&aelig;re det krypterede password af den f&oslash;rste bruger i systemet ...<br /><br />Bem&aelig;rk: i ovenst&aring;ende eksempel har jeg &aelig;ndret noget, der g&oslash;r at det ikke vil virke i 99,9999999% af alle WordPress-ops&aelig;tninger.<br /><br />Derfor: opdater din WordPress!!</p><div class="clearBoth"></div>