Zabezpecenie

turtlak69

neviem ci to nepatri do hladam...
spravil som stranku a hladam niekho, kto sa vyzna do php a mysql. najlepsie keby bol zbehly v mysql injekciach a php injekciach, XSS, atd. chcel by som otestovat ci je moja stranka zabzpecena. v oblasti bezpecnosti som velmi slabucky a chcel by som to testnut s niekym, kto by mi povedal, kde mam dieru, pripadne napisal ako ju opravit (ak by som s tym nevedel pohnut). nechcem jedno krasne rano zistit, ze mam vyprazdnenu databazu

samozrejme ten test si nepredstavujem tak, ze "no skusim vymazat databazu, ak to pojde, tak je tam diera"

nalepsie by bolo keby mi to nenarusilo chod stranky

pošli mi link, keď bude čas tak sa na to pozrem

turtlak69

poslal som ti ho v k+. nechcem to sem davat, lebo by to bola dost reklama. navyse aj tak kazdy, kto by tam klikol by sa odtial rychlo pobral naspat, kedze normalne menu je az po registracii a registracia je len na pozvanky

dík, už som ti našiel exploit vďaka ktorému môžem čítať všetky správy. Dôkaz som ti poslal cez ss

turtlak69

thx

no ako vidim, tak dier tam bude plno, ked do pol hodky prvy exploit

kazdopadne ak by chcel este niekto pomoct, tak to len uvitam.

Dawn · Príspevok od používateľa **Dawn** » 01 okt 2007, 17:41

opis pls konkretne kde bol problem a ako si ho riesil... mozes aj cez ss

turtlak69 napísal:ja som na to este neprisiel. neviem ako sa to audiotrackovi podarilo. akonahle to z neho vytiehnem , tak to fixnem a napisem v com to bolo

diki moc

turtlak69

ja som na to este neprisiel. neviem ako sa to audiotrackovi podarilo. akonahle to z neho vytiehnem

, tak to fixnem a napisem v com to bolo

našiel som spôsob, ako sa prihlásiť pod ľubovolným menom (napríklad pod tvojím

). Zatiaľ je to v teoretickej rovine, lebo na odskúšanie by som si musel naprogramovať pomôcku a to sa mi nechce, ale som si istý že by to fungovalo

//edit: zajtra ti to popíšem (aj s tými mailami) cez ss, teraz musím off

turtlak69

budem ti velmo vdacny

kludne to mozes hodit aj sem. nech sa aj ostatni naucia comu sa treba vyvarovat a na co si treba dat pozor

navyse link na stranku tu nie je, takze to nikto skusat nebude

povodne som mal v plane kontrolovat vsetky udaje inym sposobom. bolo to robene tak, ze ak sa poslali udaje z inej stranke ako www.nieco.nieco.domena alebo nieco.nieco.domena, tak by to hodilo chybu. ale neviem preco to takto nefungovalo a hadzalo to chybu hockedy. nie vzdy fungoval HTTP_REFFERER. takze teraz je dost mozne, ze ta tvoja pomocka by fungovala, kedze sa nikde nezistuje, ci tie udaje prisli z danej stranky. prave mi napadla jedna taka zalezitost...
priklad: v poste sa zistuje, ci je uzivatel prihlaseny tak, ze sa skontroluje session. ak nie je session setnuta, tak to presmeruje na index.php. ak je, tak je dobre. da sa spravit taka finta, ze sa uzivatel prihlasi a postne data z inej stranky a vyhodnoti to ako platnu session? neviem totiz kde presne vznika ta session. kazdopadne budem cakat na SS (nie na nemcov) ako deculo na vianoce

Mek · Príspevok od používateľa **Mek** » 01 okt 2007, 20:37

To s tym refererom je sice riesenie, ale ako je zname, vsetko ma svoje muchy.
Aj ten referer je len obycajna cast HTTP hlavicky a kazdy zdatnejsi clovek ho dokaze nastavit na akukolvek (hoci aj neexistujucu) adresu.

turtlak69

ano dokaze, ale nie kazdeho napadne menit hlavicky. nevyznam sa do zabezpecenia, ale myslim, ze takymto sposobom nie su stranky zabezpecene. no kazdopadne sa ani necudujem. nie su, lebo to nie vzdy facha (neviem preco, ale ani uz netreba)

no chyba ktoru nasiel audiotrack je len prejav totalnej debility. spravil som totiz skolkarsku chybu. v URL posielam ID posty, ktora sa ma zobrazit. v prijatych spravach sa overi, ci je sprava urcena pre dotycneho (pomocou session, ktora sa setne pri lognuti). no a v odoslanych spravach som to zabudol

takuto blbost nespravi ani zaciatocnik

edit: vsetko spomenute som zabezpecil a touto trapnou fintou uz nie je mozne citat postu ostatnych ani spravit mysql injection utok

máš tam dve diery, kde možno aplikovať xss
(na ukážku som použil vloženie iframu so stránkou hojka)

turtlak69

uff ale toto je tusim uz vec JS do ktoreho sa absolutne nevyznam

prave XSS osetrit absolutne neviem. zrejme by som sa mal uz zacat pomaly ucit ajax

btw XSS je aj problemom tatra banky. hoci neskodnym, ale je
http://emdi.sk/blog:63:Tatra_Banka_s_de ... UALIZOVANE

hej, o tej tatrabanke som čítal, a nedávno som našiel aj chybu na www.statpedu.sk vo vyhladávani. Vyhladávaný string prepíše na stránku a vôbec neodstráni nebezpečné znaky. Takéto lamy sú vo vedení školstva a nás chcú učiť že máme robiť všetko dôkladne. Omg

turtlak69

ale maju zabezpecene uvodzovky. mozes tam zadat html tagy, ale to sa zobrazi len tebe. cize tym nenarusis databazu. ale aj tak by som od takej stranky cakal viac. tie adresy tiez mohli trosku spravit cez htaccess. tiez aj nepodareny dizajn som si vsimol. v opere sa mi zobrazita cast, kde je napisane Monitor 9 na prelome dvoch obrazkov v pozadi.
vizitka skolstva by mala byt takpovediac dokonala

úvodzovky a apostrofy tam nie je problém prepašovať naloadovaním externého js

Kód: Vybrať všetko

<script src=http://...........sk/alert.js></script>

turtlak69

JS neovladam. ovplyvni to bezpecnost stranky? je to vlastne bezpecnostna chyba? co sa s tym da spravit?

v tomto konkrétnom prípade toho veľa nenarobíš, lebo nemajú prihlasovanie ani nič zaujímavé kde by sa to dalo zneužiť, no na tvojej stránke môžem ukradnúť session a prihlásiť sa pod tvojím nickom a heslom (bez toho aby som ich vedel). Prípadne niekoho iného

turtlak69: Pred tým, ako použiješ include testuješ, či súbor existuje? (pravdepodobne netestuješ, ale mohol by si, lebo tá chybová hláška by tam byť nemusela)

turtlak69

chrono: ano mas pravdu, netestujem, ci subor existuje. nemal som na to dovod. kto sa chce pohybovat po stranke a prezerat obsah ci vyuzivat sluzby, tak na taky problem nenarazi. kto chce spravit nieco nekale, tak mu vyhodi hlasku

ale thx za info. po odstraneni bezpecnostnych dier (tusim uz kraterov) to fixnem

alebo radsej hned nech na to nezabudnem
audiotrack: hmm tak prihlasit sa pod mojim (alebo aj inym) nickom je presne to na co som cakal. to je prave to, co ja povazujem za extremne kriticku bezpecnostnu chybu. zasah do cierneho. keby si bol taky dobry a napisal mi SS s malym navodom, bol by som ti velmi vdacny. potom by som ta poprosil, aby si mi nemazal friendov, nerobil zbytocne administratorske zasahy (mam tam rolu admina a rozsirene menu)

doteraz som bol v tom, ze session je extra bezpecne riesenie...