vorhergehender Artikel
nächster Artikel

Trojan Source, dWb+ und sQLshell

vorhergehende Artikel in: Java dWb+ sQLshell Markup Security
13.11.2021

Nachdem die kritische Lücke Trojan Source veröffentlicht wurde habe auch ich geprüft, ob die sQLshell oder dWb+ dadurch verwundbar wären.

Die sQLshell erlaubt es, SQL-Statements an eine Datenbank zur Verarbeitung zu schicken. Daher stellt sich die Frage, ob man entsprechende Versuche der Manipulation mit eingestreutwen BiDi-Unicodes erkennen könnte. Der folgende Screenshot zeigt, dass diese Codes in der sQLshell als Pseudozeichen dargestellt und nicht interpretiert werden. Man vergleiche auch mit dem nächsten Screenshot, der denselbemn Inhalt in Gedit zeigt:

Screenshot SQL-Script in sQLshell

Screenshot SQL-Script in Gedit 2.36.2

Das hier gesagte gilt nicht nur für den in der sQLshell eingebauten SQL-Editor, sondern selbstverständlich auch für das Plugin, das die sQLShell um einen MDI-Editor für SQL-Skripte erweitert.

Die sQLshell verfügt - genau wie dWb+ auch über einen Java-MDI-Editor, realisiert ebenfalls als Plugin. Diese Plugins sollen hauptsächlich bei der Erstellung von BeanShell-Skripten unterstützen.

Wie man im nächsten Screenshot sieht, werden die eingestreuten Control-Characters hier zwar nicht als Pseudozeichen hervorgehoben, allerdings arbeitet zumindest das Syntax-Highlighting korrekt und markiert die gesamte Zeile 5 als auskommentiert.

Screenshot Java-Beispiel in Java-MDI-Plugin-Editor

Hierin gleicht es Gedit - auch diese Anwendung weist durch das Syntax-Highlighting darauf hin, dass hier etwas nicht stimmt...

Es existiert noch ein weiteres Plugin, das derzeit nicht - oder nur mit äußerster Vorsicht benutzt werden sollte: BeanShellREPL.

Hier wird die Beanshell-Konsole in die Anwendung eingebunden, um schnell per BeanShell Statements zur Ausführung absenden zu können. Diese Konsole arbeitet ohne jegliches Syntax-Highlighting und der problematisache Code ist - da auch die Control-Characters komplett unsichtbar bleiben - nicht als problematisch erkennbar:

Screenshot Java-Beispiel in BeanShell-Konsole

Daran ändert auch die Verwendung der aktuellsten auf GitHub verfügbaren SNAPSHOT-Version nichts, wie man im folgenden Screenshot erkennen kann:

Screenshot Java-Beispiel in BeanShell-Konsole Version 3.0.0-SNAPSHOT

Ich habe daher ein entsprechendes Ticket eingestellt.

Artikel, die hierher verlinken

Fork der BeanShell wegen Trojan Source

19.12.2023

Es gibt inzwischen einen von mir erstellten Fork des originalen Repository, in dem ich die Komponente zur Darstellung der Konsole gegen die ausgetauscht habe, die in der sQLshell in den Plugins MDIJavaEditor und MDISqlEditor zum Einsatz kommt - dadurch wird wenigstens durch das Syntax-Highlighting auf problematische Stellen im Code hingewiesen.

Öffnen

Release der Gegenmaßnahmen gegen Trojan Source und Trojan SQL

19.12.2023

Mit Version 1.4.0 wurden die Gegenmaßnahmen gegen Trojan Source und Trojan SQL endlich in einer Release auf Repsy zur Verfügung gestellt.

Öffnen

Neuigkeiten zu dWb+

16.07.2022

Nach meinem letzten Artikel zum Thema dWb+ ist bereits einige Zeit vergangen - daher hier ein kurzes Update mit einem Ausblick auf die nächste Version.

Öffnen

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Sniffing JDBC-Treiber als OpenSource

    07.03.2021

    Die sQLshell beruht auf einem von mir selbst entwickelten Wrapper für JDBC-Treiber, über die letztlich die Kommunikation mit dem eigentlichen JDBC-Treiber und damit letztlich mit der Datenbank abgewickelt wird. Nach einer größeren Aufräumaktion in den betreffenden Codeteilen und der Bearbeitung eines Tickets, bei dem sich die Features als überaus hilfreich erwiesen habe ich mir vorgenommen, diese Implementierung im Laufe des Jahres als OpenSource-Projekt zur Verfügung zu stellen.

    Weiterlesen

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Hardware. Links Java Java. Komponenten Jupyter JupyterBinder Komponenten Links Linuc Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Asymmetrische Kryptographie

    Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

    Weiterlesen
  • LinkCollections 2026 II

    Nach der ersten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2026 folgt hier gleich die nächste:

    Weiterlesen
  • Attributzertifikate

    Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der vorliegende Artikel erläutert nochmals Attributzertifikate - speziell im Hinblick auf Data Privacy.

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.