Eine frage an gute Programmierer :-)

Installation und Anwendung von Datenbankschnittstellen wie SQLite, PostgreSQL, MariaDB/MySQL, der DB-API 2.0 und sonstigen Datenbanksystemen.
Antworten
Kelvanrbi
User
Beiträge: 2
Registriert: Montag 15. August 2011, 16:10

Ersteinmal ein Hallo an alle,


und ich hoffe auch das ich hier richtig bin, man will ja nicht gleich mim ersten post unangenehm auffallen :-)

Falls das im falschen Forum gelandet sein soll bitte einfach verschieben oder falls ich ganz falsch sein sollte einfach bescheid geben dann lösch ich das wieder.

Es geht um folgendes Bild bzw. folgende Fehlermeldungen:

Bild

Das ganze ist ein Spiel namens Spacepioneers, ein klon zu dem damals sehr bekannten Ogame. Da ich weiss das das Spiel in Phyton Programmiert wurde war halt meine erste anlaufstelle dieses Forum.
Das Spiel wird auch schon lange nicht mehr weiter entwickelt, deswegen kann man den entwickler dazu nicht fragen.

Meine frage ist nun ob jemand eine Idee hat wie diese fehlermeldungen zustande kommen, ob es vielleicht bekannte exploits gibt, und ob man das ganze nochmal wiederholen könnte. Da ich selber das Spiel spiele und ich mir damit keine vorteile verschaffen möchte habe ich dies hier mit der genehmigung eines Admins des Spiels geschrieben.

Die URL zum Spiel lautet: http://gus.sp.looki.de/glogin.shtml

Gruß,
Rene
Nach oben
Benutzeravatar
Hyperion
Moderator
Beiträge: 7478
Registriert: Freitag 4. August 2006, 14:56
Wohnort: Hamburg
Kontaktdaten:
Kontaktdaten von Hyperion

Wie es aussieht sollte da ein Eintrag in die DB vorgenommen werden, der einem Primary Key enthält, der bereits in der DB enthalten ist. Diese Exception wird im Code nicht gesondert behandelt. Allerdings zeugt es nicht grad von der Qualität des Codes, wenn so eine Meldung dann in das Ausgabetemplate gesendet wird.

Direkt kann man damit nichts anfangen. Aber man kann erkennen, dass die DB-Schnittstelle im Code nicht gegen SQL-Injection geschützt ist; zumindest bei dieser Abfrage. Insofern könnten findige Leute schon einen Weg finden, die DB auszulesen oder zu manipulieren.

Ich frage mich nur, wieso der Admin - so er ja angeblich kontaktiert wurde - nicht selber Wert darauf legt, an diese Info zu kommen?
encoding_kapiert = all(verstehen(lesen(info)) for info in (Leonidas Folien, Blog, Folien & Text inkl. Python3, utf-8 everywhere))
assert encoding_kapiert
Nach oben
Kelvanrbi
User
Beiträge: 2
Registriert: Montag 15. August 2011, 16:10

Hallo Hyperion, er legt drauf wert, da ich aber öfter mit ihm schreibe, habe ich ihm gesagt das ich da mal genauer nachfragen werde. Du kannst gerne einen Acc dort anlegen und ein Supportticket schreiben ob das hier genehmigt wurde was ich hier gefragt habe. Auch kann ich gerne Skype Kontakt weiter geben.

Wir sind alle daran interressiert der Sache auf den Grund zu gehen, da wir annehmen das damit betrogen wird, es aber nicht nachweissbar ist.

Gruß
Rene
Nach oben
Leonidas
Python-Forum Veteran
Beiträge: 16025
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:
Kontaktdaten von Leonidas

Kelvanrbi hat geschrieben:Wir sind alle daran interressiert der Sache auf den Grund zu gehen, da wir annehmen das damit betrogen wird, es aber nicht nachweissbar ist.
Wie Hyperion sagte, die Warscheinlichkeit davon ist schon durchaus hoch. Die Möglichkeit ist auf jeden Fall da.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Nach oben
Antworten

Zurück zu „Datenbankprogrammierung mit Python“