Dokonaj ataku - wygraj 4-pak Żubra, www.sierzanski.pl Opcje

[misiuziu]

Witam

W związku z tym, że tyle osób twierdzi, że moje strony są narażone na mnóstwo ataków (konkretnie to w tym temacie ) ogłaszam konkurs.

Zasady są proste:
1. Dokonaj włamu tę stronę lub na którąś, która znajduję się w moim portfolio.
2. Włam ma być na tyle niegroźny, żeby jego skutki można było w miarę szybko usunąć.
3. Po dokonaniu włamu, należy odpowiedzieć w tym temacie wpisując w treści posta "Dokonałem włamu" oraz wysłać szczegóły na priv do mnie.
4. Trzeba dokonać włamu, a nie ukazać błędy, którymi strona rzuca podczas próby ataku (jedna ze stron nie jest zrobiona elegancko, stąd te błędy).

A teraz nagroda - jest to 4pak Żubra - albo jego równowartość. Póki co chętnie wręczę nagrodę osobiście o ile będzie to miało miejsce w Szczecinie. W przeciwnym wypadku wyślę na konto równowartość 4 piw (12zł).

Zapraszam do próbowania.

Ten post edytował misiuziu 22.09.2009, 13:00:20

[Spawnm]

A teraz nagroda - jest to 4pak Żubra - albo jego równowartość. Póki co chętnie wręczę nagrodę osobiście o ile będzie to miało miejsce w Szczecinie. W przeciwnym wypadku wyślę na konto równowartość 4 piw (12zł).

zobaczmy czy mam piwka // mam ^^


+ http://opakowania.chc-prochor.pl/wykrojniki.php
dając od tak maila w mailto skazujesz się na spam


w eyekod linki nie działają , nic nie ma więc nic się nie da

[misiuziu]

zobaczmy czy mam piwka // mam ^^


+ http://opakowania.chc-prochor.pl/wykrojniki.php
dając od tak maila w mailto skazujesz się na spam


w eyekod linki nie działają , nic nie ma więc nic się nie da

Masz piwka

Co do maila - chciał tego zleceniodawca.

Co do eyekoda - wiem, że coś nie działa, ale to stary projekt i go tylko przerzuciłem (nie miałem jeszcze czasu sprawdzić co jest nie tak).

Za kolejny błędy (z pominięciem eyekoda) oferuję dwa piwka

[xwolf]

Patiatiuczku

Konkurs mi się spodobał więc oto moje uwagi odnośnie sklepu Aura:

W formularzach można podawać "białe" znaki np same spacje. I tak mogę wpisać swoje dane czyli imię nazwisko, adres itd jako same spacje. To samo z hasłem.
W ten sam sposób można wysyłać do sklepu puste maile z formularza kontaktowego.

Probowałem sql injection ale tam jesteś chyba zabezpieczony

Jak widać jakiś poważnych uchybień nie znalazłem więc nagrody się nie spodziewam.

Pozdrawiam

[misiuziu]

Patiatiuczku

Konkurs mi się spodobał więc oto moje uwagi odnośnie sklepu Aura:

W formularzach można podawać "białe" znaki np same spacje. I tak mogę wpisać swoje dane czyli imię nazwisko, adres itd jako same spacje. To samo z hasłem.
W ten sam sposób można wysyłać do sklepu puste maile z formularza kontaktowego.

Probowałem sql injection ale tam jesteś chyba zabezpieczony

Jak widać jakiś poważnych uchybień nie znalazłem więc nagrody się nie spodziewam.

Pozdrawiam

Nagrody się nie spodziewaj Patatiuczku

Białe znaki... w ten sposób raczej nic groźnego nie można zrobić, a podejrzewam, że klienci są tyle mądrzy, że wiedzą, że trzeba by podać swoje dane (chociaż patrząc na niektóre maile i zamówienia, można się załamać).

Dzięki za udział w konkursie. Jestem Ci wdzięczny za chęć pomocy (lub wygrania piwa ).

[SHiP]

Hmm każde odwołanie się do nieistniejącego pliku powoduje przekierowanie na zawirusowaną stronę ;]. Zmień to...

A konkurs imho bez sensu bo ta Twoja wizytówka to strona, na góra pół godziny. Jest tam tylko jeden formularz, który na szczęście filtrujesz i to wszystko.

PS: w tym sklepie - http://www.aura.szczecin.pl w index.php w 6 linijce masz błąd w htmlspecjalchars()

OK jeśli chcesz dziure to masz sklep podatny na SQL INJECTION

Podczas robienia zakupów masz pole

[HTML] pobierz, plaintext 
 <input type="hidden" name="kup_nowy" value="1243" />
[HTML] pobierz, plaintext 

Po wpisaniu śmieci wyrzuca mi błąd:

[HTML] pobierz, plaintext 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /funkcje.php on line 194
[HTML] pobierz, plaintext 

Troszkę się pobawić i nie masz rekordów w bazie =).

EDIT2:
W ogóle duzo takich krzaczków masz:

[HTML] pobierz, plaintext 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /includy/widok_produktow.php on line 908
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /includy/widok_produktow.php on line 1039
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /funkcje.php on line 1280
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /funkcje.php on line 1323
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /funkcje.php on line 1315
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /includy/widok_produktow.php on line 844
[HTML] pobierz, plaintext 

Ten post edytował SHiP 22.09.2009, 17:57:13

[nospor]

Dowciapny jestes.... najpierw poprawiłeś błędy a potem walisz byśmy cię zhakowali i udajesz jeszcze wielkie oburzenie... normalnie gryps się ciebie trzyma niesamowity.

No ale muszę Cię zasmucić. XSS poprawiłeś ale sql injection jak było tak jest.

Gdzie? Poszukaj sam. Jakbyś na początku na PW poprosił to bym ci za darmo powiedział co masz nie tak. Ale tymi 12 złotymi i wielkim oburzeniem to mnie rozbroiłeś... negatywnie.

[misiuziu]

Hmm każde odwołanie się do nieistniejącego pliku powoduje przekierowanie na zawirusowaną stronę ;]. Zmień to...

Wina hostingu - już do nich napisałem.

PS: w tym sklepie - http://www.aura.szczecin.pl w index.php w 6 linijce masz błąd w htmlspecjalchars()

Był tylko chwilę - poprawiałem to, co zauważył Spawnm.

OK jeśli chcesz dziure to masz sklep podatny na SQL INJECTION

Któryś raz to już słyszę i nie widzę jak. Po to ten konkurs. Żeby mi otworzyć oczy na to, co robię źle. Skoro twierdzisz, że jest możliwy taki atak to go przeprowadź.

Dowciapny jestes.... najpierw poprawiłeś błędy a potem walisz byśmy cię zhakowali i udajesz jeszcze wielkie oburzenie... normalnie gryps się ciebie trzyma niesamowity.

Co do dowciapnośni - przypomniał mi się stary kawał, ale nie będę go opowiadał, bo pewnie wszyscy znają.

Poprawiłem następujące błędy - sprawdzanie formularza kontaktowego na homepage - w dużej mierze przez wiadomości, które wysyłali użytkownicy testując to w poprzednim temacie. Poprawiłem również błąd, który znalazł Spawnm w tym temacie. Nic więcej nie poprawiałem.

No ale muszę Cię zasmucić. XSS poprawiłeś ale sql injection jak było tak jest.

Tak? Pokaż. Nie wierze.

Gdzie? Poszukaj sam. Jakbyś na początku na PW poprosił to bym ci za darmo powiedział co masz nie tak. Ale tymi 12 złotymi i wielkim oburzeniem to mnie rozbroiłeś... negatywnie.

Szukałem. Nie jestem w stanie znaleźć możliwości sql injection, nawet znając i widząc skrypt. Po to ten konkurs. Mówicie, że strona nie jest zabezpieczona pod tym względem, a nie pokazujecie. Jak na razie są to tylko puste słowa.

A nie zapytałem w PW na początku, bo wcześniej ten sam błąd zauważył Spawnm. Do niego napisałem i chciałem poprawić, ale okazało się, że nie mam czego.

Pokażcie klasę, pokażcie możliwość włamania robiąc to. Na razie ostrzymy sobie tylko języki.

I jeszcze raz podziękowania dla Spawnm.

[nospor]

Nic więcej nie poprawiałem.

No i poprawiłeś właśnie podatność na XSS. Przed założeniem tego tematu skrypt był podatny na ten atak.

Skoro twierdzisz, że jest możliwy taki atak to go przeprowadź.

tja... a nie wiesz że to karalne? To ze ty ogłosiłeś konkurs na atak na cudzą stronę to nie znaczy ze ja mogę bezkarnie go przeprowadzić. Przyznasz sam, że aura nie jest Twoja. Ty jedynie napisałeś skrypt. Serwis należy do kogoś innego.

Poza tym pisałem dlaczego nie powiem ci co i jak.

Ale:
- jeśli załatwisz pisemną zgodę właściciela serwisu na atak
oraz
- zapłacisz mi powiedzmy 500 zł za robotę

to przeprowadzę atak

[phpion]

http://www.sierzanski.pl/kontakt.php

Formularz niby OK, walidacja itd. ale wystarczy mały skrypcik z wykorzystaniem cURL wysyłający w pętli dane metodą POST do kontakt.php i masz zaspamowaną skrzynkę pocztową.

To samo tyczy się tego:
http://www.aura.szczecin.pl/index.php?str=5
Niby masz wymóg przepisania określonego kodu ("słowa"), ale co z tego skoro można je bez problemu wyciągnąć wyrażeniem regularnym lub czymkolwiek innym. Takie zabezpieczenie to żadne zabezpieczenie, a tylko utrudnia wysłanie formularza (na pierwszy rzut oka nie widać, co tam trzeba wpisać).

[SHiP]

Proszę bardzo:

http://www.aura.szczecin.pl/index.php?str=1%20OR%201=1
lub
http://www.aura.szczecin.pl/index.php?str=1%20AND%201=2
I dowód, że mozna tworzyć podzapytania:
http://www.aura.szczecin.pl/index.php?str=...28SELECT%201%29

Atak przeprowadzony, niegroźny ale z powodzeniem zmieniam Ci zapytanie SQL a całosć dalej dziala. Nie chcę Ci usuwać bazy ponieważ ataki miały być niegroźne. Zresztą SQL INJECTION wymaga czasu aby wyciągnąć lub odgadnąć nazwy tabel SQL, a za 12zł nikomu się nie chce .

Pozdrawiam

Ten post edytował SHiP 23.09.2009, 11:29:06

[lysiu]

Chciałem się dołączyć do tematu.

Mianowicie w niedługim czasie będę wykonywał stronę dla brata i jego firmy (za darmo). Dlatego teraz się uczę, i zrobiłem taką stronę, na której testuje sobie różne rzeczy, i się dokształcam na swoich błędach. Pomijając fakt, że strona jest "o niczym" i nie ma tam żadnej wartościowej treści, to zależało by mi żebyście sprawdzili czy nie mam jakichś błędów. Na przykład formularze i nie wiem co tam jeszcze. Mogę podać jakieś dane, np jak interpretuję POST'y itd, bo nic się nie stanie jak ktoś coś usunie . To moja pierwsza strona z taką ilością php, napewno wygląda lepiej od poprzednich: http://linux.atspace.com/ (chociaż tu jest jeden skrypt bash) i http://lysekk.tripod.com/, pisanych jeszcze w starym dobrym vimie:). Stronę bratu właśnie będę wykonywał w php i mysql, więc to trenuje. Moja nowa strona do przetestowania to http://lysiu.pl/ - mało tego jest, więc pewnie od razu zobaczycie błędy, w kg i nowekonto są formularze, tak to nie wiem co jeszcze może być źle Z góry dziękuję.

Ten post edytował lysiu 24.09.2009, 00:27:09

[SHiP]

@lysiu nie filtrujesz ksiegi gości w polu Strona - podatność na ataki XSS. Da sie normalnie kod html wrzucic ;]

[lysiu]

no widzę, widzę, dzięki jutro poprawię, trzeba by na < > pozmieniać, ale nie wyrzucić, bo to strona przecież ma być, no pomyślę, dzięki za sprawdzenie. a da się usunąć nie swój post? Bo mi się wydaje, że się da ;d

id (PRIMARY KEY) tak pobieram z formularza post który zaczyna działać po naciśnięciu przycisku usuń:

[PHP] pobierz, plaintext 
$id = cipher(base64_decode(substr($_POST[md5(sha1($_SERVER['REMOTE_ADDR']))],0,$_POST['much']-6)));
 
gdzie cypher to:
 
    function cipher($text)
{
$key = 'z9A';
$outText = '';
for($i=0;$i<strlen($text);) 
 {
     for($j=0;$j<strlen($key);$j++,$i++)
     {
         $outText .= $text{$i} ^ $key{$j};
     }
 }
 return $outText;
}
 
[PHP] pobierz, plaintext 

bo jak pisałem gdzieś indziej mcrypt mi nie działa

ale dodałem takie cuś:

[PHP] pobierz, plaintext 
        if(strcmp($_SERVER['REMOTE_ADDR'],mysql_result($result,0)))
        {die("Chcesz usunac nie swoj wpis?");}
[PHP] pobierz, plaintext 

to już chyba jest bezpiecznie?

No dobra trochę jeszcze popoprawiałem, choć dalej jest do bani, jutro się pobawię...

Ten post edytował lysiu 24.09.2009, 01:10:02