$_POST faken

[gysi]

Hallo,
Ich habe ein eigenes kleines Onlinespiel programmiert.
Ich habe Grund zur Annahme das es Jemanden gelungen ist die $_POST variable zu imitieren und somit quasi zu cheaten.
Meine Frage also, ist es möglich so etwas zu machen?

Hier der Code um den es geht

Code:

echo '<tr><form method="Post">';
echo "<td><img src='http://$host$uri/images/Einheiten/".$einheit->NAME.".jpg' width=45 height=45></td>";
echo '<td>'.$einheit->NAME.'</td><td>'.$einheit->GESUNDHEIT.'</td><td>'.$einheit->STAERKE.'</td><td>'.$anzahl.'</td>';
echo '<td><input type="text" name="anzahl" style="width:50px" size="8" maxlength="8" /></td> ';
echo '<input type="hidden" name="ideinheit" value="'.$einheit->IDEINHEIT.'" />';
echo '<input type="hidden" name="goldkosten" value="'.$einheit->GOLDKOSTEN.'" />';
echo '<input type="hidden" name="holzkosten" value="'.$einheit->HOLZKOSTEN.'" />';
echo '<td><input type="submit" class="button" name="bauen" value="Erstellen" /> <br />('.$einheit->GOLDKOSTEN.' Gold, '.$einheit->HOLZKOSTEN.' Holz)</td>';
echo '</form></tr>';

es geht um die beiden hiddeninputs in denen die Gold und Holzkosten im Post übergeben werden um dann nach dem Abschicken des Post's die Kosten für die Anzahl der Einheiten zu errechnen.

Wenn Jemand den post faken könnte dann müsste er lediglich die Goldkosten und Holzkosten auf 0 setzen und schon kann er umsonst soviele Einheiten bauen wie er möchte.

[|Coding]

Hi!

der Scriptausschnitt hilft jetzt nicht gerade weiter, kann man sich das mal live ansehen?

[gysi]

ja bei http://gysi.yourgalaxy.de/wgame

Da hat es Jemand geschafft sich Einheiten zu erstellen obwohl er es mit dem normalen Gold was er durch seine Goldmine bekommt normalerweise niemals geschafft hätte. Außerdem hat er bei Gebäude eine Kaserne lvl 20 erstellt obwohl sie nur bis 10 geht. Ich kann mir das nicht anders erklären als das er die POST Variable irgendwie gefakt hat und ich wüsste gerne was ich dagegen machen kann

[defabricator]

Klar kann man POST Parameter senden, wie man lustig ist. POST ist kein Sicherungsmechanismus. Solche Werte muss man serverseitig abtesten.

[|Coding]

Hi,

ich habe mir die Seite mal angesehen und ich bin mir fast sicher, dass der User Deine Oracle-Statements gehackt hat. Stichwort: SQL-Injektion
Du musst also Deine SQL-Statements schützen (escapen) und auch die von Außen kommenden Variablen ($_POST, $_GET...) schützen, z.B. mit htmlspecialchars.

[|Coding]

ach und addslashes könnte Dir da auch helfen.

[gysi]

addslashes brauche ich meines wissens nicht weil ich bei PHP die funktion angestellt habe das alle Anführungszeichen automatisch mit einem Blackslash außer Funktion gesetzt wird. Und htmlspecialchars habe ich auch benutzt.

Hmm dann muss ich die Inputboxes dann wohl reduzieren und weitere Abfragen machen so das er es nicht mehr faken kann.

Aber mich würde jetz schon doch noch interessieren wie man das anstellt mit dem POST senden =D


ps: Danke für euere Hilfe

[gysi]

Ich hatte den Benutzer der den Bug ausgenutzt hat mal angeschrieben und er meinte er hat es mit einer SQL Injection realisiert, aber wo bitte auf der Seite kann man noch solch eine Injection machen?

[|Coding]

Zitat:

Zitat von gysi

...weil ich bei PHP die funktion angestellt habe das alle Anführungszeichen automatisch mit einem Blackslash außer Funktion gesetzt wird.

Aja... :-)

Zitat:

Zitat von gysi

...aber wo bitte auf der Seite kann man noch solch eine Injection machen?

Zum Beispiel beim Login...

[gysi]

So ich hab jetz überall wo SQL statements mit der POST / GET Variable ausgeführt wurden den String mit htmlspecialchars umgewandelt. Ich hoffe es sind jetz keine SQL Injections mehr möglich.

Kennst du vielleicht eine Seite wo auf das Thema PHP / Datenbank -> Sicherheit näher eingegangen wird?