Zobraziť témy bez odpovede | Zobraziť aktívne témy Aktuálny čas je 25 Feb 2020, 16:02



Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.  [ Príspevkov: 30 ]  1, 2  Ďalšia

Choď na stránku
RFID vrátnik so správou on-line s bezdrôtovou konektivitou
Hľadať:
Facebook Twitter Vybrali Sme  
 
Autor Správa
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok RFID vrátnik so správou on-line s bezdrôtovou konektivitou
ZMAZAŤ HET.


08 Aug 2019, 14:19
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.5.2009
Príspevky: 3820
Bydlisko: Bratislava
Karma: Level +4
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Predpokladam, ze toto je ono https://github.com/martinius96/RFID-otvaranie-dveri.

Tym by som sa bal zabzpecit aj dvere od kurniku. A teraz preco:
- Nepozeral som si ako je zabzpecene RFID, a ci idu dane tag klonovat, spoofovat, alebo "uhadnut"... , ale kod pre Arduino/ESP nevyzera, ze by to riesil...
- Nijako neriesis, ze poziadavka na tvoj php kod zo zariadenia skutocne pochadza z tvojho zariadenia, utocnik ti moze vygenerovat miliony pristupov a zahltit ti databazu (DoS) alebo zakryt nieco ine
- Nijako neriesis, ze ze zaraidenie skutocne obdrzi odpoved zo serveru (ide ju podhodit a otvorit zamok), plus tam vies spravit BufferOwerflow na zariadeni a vyradit ho do restartu z prevadzky
- Zaregistrovat si novu kartu ide zavolanim spravnej URL (hocikto si moze zaregistrovat vlastnu)
- Mas tam SQL injection zranitelnost, videl som ju na dvoch miestach a na dalsich ju mas potencialnu (pouzivaj prepre statemnty, ale pozor v kombinacii PHP a MySQL ani to nepomoze)
- Plus stare zname XSS a tym plno dalsich chutoviek, ktore sa daju vyuzit.

To som nasiel len tym, ze som sa na 3 minuty pozrel na dany kod, keby kod nemam trvalo by mi to 15 minut a na heknutie by mi stacil browser alebo Powershell.
A neochrani ta ani to, ked utocnik nebude mat pristup do siete, kde je tvoj server a Arduino.

Takze, popracuj na bezpecnosti.


09 Aug 2019, 7:36
Profil  WWW
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
vtipný koment.


13 Aug 2019, 14:43
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.5.2009
Príspevky: 3820
Bydlisko: Bratislava
Karma: Level +4
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Preco myslis, ze je vtipny?


-----------------------------------
https://github.com/martinius96/RFID-otvaranie-dveri/blob/master/pridaj.php
Kód:
<?php
  include("connect.php");
  $ins7 = mysqli_query($con,"INSERT INTO `autorizovane` (`cislo_karty`) VALUES ('".$_SERVER['QUERY_STRING']."')") or die (mysqli_error($con));
  $zmaz = mysqli_query($con,"DELETE FROM `neautorizovane` WHERE `cislo_karty`='".$_SERVER['QUERY_STRING']."'") or die(mysqli_error($con));
  echo "OK"; 
  header("Location: pridat.php");
?>


skus si:
Kód:
tvojServer.local/pridaj.php?Hacked
tvojServer.local/pridaj.php?%3Cscript%3Ealert(1)%3B%3C%2Fscript%3E
tvojServer.local/pridaj.php?%27)%3B%20DROP%20TABLE%20cislo_karty%3B--


Kód:
While($true)
{
   Invoke-WebRequest "http://tvojServer.local/rfid/karta.php?kod=000000000&origin=ESP32"
}


13 Aug 2019, 18:06
Profil  WWW
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
ZMAZAŤ


14 Aug 2019, 12:26
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.5.2009
Príspevky: 3820
Bydlisko: Bratislava
Karma: Level +4
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Pozri je to tvoj kod a tvoja vizitka.


14 Aug 2019, 14:27
Profil  WWW
Site Admin
Site Admin
Obrázok užívateľa

Registrovaný: 24.4.2004
Príspevky: 36821
Bydlisko: Európa
Karma: Level +6
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
martinius96: Nereportuj prispevok od harrison314 v ktorom poukazuje na chyby a zranitelnosti. Tie chyby tam su, su nebezpecne a nevidim dovod na zmazanie jeho prispevku. Miesto toho by si mu mal podakovat, ocenit jeho kvality a zapracovat na bezpecnosti scriptov.


15 Aug 2019, 21:55
Profil  WWW
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
MAŽ


15 Aug 2019, 22:04
Profil  
Medium Expert
Medium Expert
Obrázok užívateľa

Registrovaný: 1.8.2012
Príspevky: 126
Karma: Neutrál
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
martinius96: budeš mať veľmi vysoko ego, keď kritizuješ niekoho, čo sa snaží pomôcť. Veľa úspechov v ďalšej profesií, keď ti niekto poukáže na chybu.

hojko: predpokladám, že tam máš preklep v označení pred dvojbodkou.


15 Aug 2019, 22:58
Profil  
Light Professional
Light Professional
Obrázok užívateľa

Registrovaný: 12.4.2010
Príspevky: 752
Karma: Level +1
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Pritom by stacilo pouzit nejaky dobry framework, ktory ma tieto veci ako XSS, SQL injection by default osetrene... To su klasicke zranitelnosti na urovni buffer overflow zname uz minimalne cez 20 rokov...


16 Aug 2019, 7:04
Profil  
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
KKK


16 Aug 2019, 11:34
Profil  
King
King
Obrázok užívateľa

Registrovaný: 31.10.2006
Príspevky: 1630
Bydlisko: Nitra - Bratislava
Karma: Level +5
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
tak toto bolo moc aj na mna :lol:

s takymto pristupom rovno skonci s programovanim, dostal si zadarmo code review aj ked len tak zbezne, ale namiesto toho aby si sa podakoval a posunul dalej tu trepes zvasty, za ktore by sa ani Blaha nemusel hanbit...

aby bolo jasne, ze ake mudrosti napisal, ktore opat zmazal :)
Citácia:
OOP neviem čiže nepoužívam framework.
OOP je jasná štruktúra, preto útočník vie (kam) zaútočiť, viz útoky na Wordpress a jeho pluginy.
Procedurálny kód je rýchlejší ako s frameworkom a vie byť bezpečnejší, keďže útočník nevie predpovedať štruktúru stránky.


16 Aug 2019, 12:10
Profil  
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Tento chlapec je odborník.


16 Aug 2019, 12:24
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.12.2006
Príspevky: 4870
Bydlisko: Slovakia
Karma: Level +3
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Fylozoficka otazka: kolko prispevkov na fore treba na to, aby clovek zo seba spravil hlupaka.
Doplnujuca: je taky clovek schopny naslednej sebareflexie a ponaucit sa zo svojich chyb?
(ano, je to vyryvacna otazka a hlavne OT takze ak je to cez, hojko v klude to zmaz)

Odpovede sa mi dostalo formou nasledovneho prispevku :D


16 Aug 2019, 12:33
Profil  
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
:smt006 čoskoro som z tohto trash fóra preč


16 Aug 2019, 12:36
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.5.2009
Príspevky: 3820
Bydlisko: Bratislava
Karma: Level +4
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Skusim to takto, uz niekolko rokov robim v praci, kde mame vlastnych Security enginierov (daco ako Biele klobuky, len na to maju vzdelanie), tak sa na mna co to nalepilo.

Citácia:
OOP je jasná štruktúra, preto útočník vie (kam) zaútočiť, viz útoky na Wordpress a jeho pluginy.

To nie je pravda, penetracne testy sa robia aj bez znalosti technologii a kodu, proste bezpecaci si vedia zistit aj pouzite technologie aj "strukturu" proruktu v pohode sami.

Citácia:
Procedurálny kód je rýchlejší ako s frameworkom a vie byť bezpečnejší, keďže útočník nevie predpovedať štruktúru stránky.

Len strukturu stranky nebude vediet predpovedat ani nik iny, napriklad tvoj kolega a ani ty za dva mesiace.

Moj povodny koment nebol agresivny, ani nepravdivy. A fakt to review mi trvalo cca 3 minuty.
A ked som to nasiel ja, kolko to bude trvat tvomu buducemu zamestnavatelovi?


16 Aug 2019, 12:39
Profil  WWW
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Neviem kto povedal, že chcem byť PHP programátor.
Alebo vôbec programátor.
Teda nepredpokladám, žeby som sa zamestnal u teba u white klobúčikov.
P.S. stále sa čaká na hojka, kým zruší toto vlákno.


16 Aug 2019, 12:44
Profil  
Addict
Addict
Obrázok užívateľa

Registrovaný: 27.5.2009
Príspevky: 3820
Bydlisko: Bratislava
Karma: Level +4
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
martinius96 píše:
Neviem kto povedal, že chcem byť PHP programátor.
Alebo vôbec programátor.
Teda nepredpokladám, žeby som sa zamestnal u teba u white klobúčikov.
P.S. stále sa čaká na hojka, kým zruší toto vlákno.


Pokial viem, aj tu na fore, aj na inych (Google nabonzoval) si ponukal svoje projekty z Arduinom, ESP,... ja by som to nazval programovanim.

Z tvojej stranky https://arduino.php5.sk/:
Citácia:
Tvorím predovšetkým softvér. Najčastejšie webovo orientované systémy prepojené s mikrokontrolérmi Arduino, alebo s IoT platformami typu ESP32, ESP8266, ktoré odosielajú dáta do MySQL databázy.


Ono bezpecnost, nie je nieco co by si chcel podcenovat aj v hoby projektoch.


16 Aug 2019, 13:05
Profil  WWW
Amateur
Amateur
Obrázok užívateľa

Registrovaný: 3.9.2017
Príspevky: 18
Karma: Mínusko
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
RFID projekt je už fixnutý. Myslím, že neobsahuje žiaden exploit. https://arduino.php5.sk/rfid/
Na oprave ďalších budem pracne pracovať.


16 Aug 2019, 13:10
Profil  
Guru
Guru
Obrázok užívateľa

Registrovaný: 26.5.2010
Príspevky: 2674
Karma: Level +1
Príspevok Re: RFID vrátnik so správou on-line s bezdrôtovou konektivit
Naco to tu davas, ked aby som nieco mohol zmenit (aj vo verzii na githube), tak si musim od teba zakupit verziu kde je to "enablnute". What a clown.

Zmazte to uz :wink:


16 Aug 2019, 14:37
Profil  
Zobraziť príspevky z predchádzajúceho:  Zoradiť podľa  
Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.  [ Príspevkov: 30 ]  1, 2  Ďalšia

Choď na stránku


Kto je on-line 
Užívatelia prezerajúci fórum: Žiadny registrovaný užívateľ nie je prítomný a 1 hosť

Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre
Nemôžete zasielať súbory v tomto fóre

Hľadať:
Skočiť na:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. © Hojko 2004-2016
[ Time : 0.216s | 12 Queries | GZIP : On ]