Bezpieczeństwo aplikacji internetowych Opcje

[bełdzio]

Hi, chciałbym poznać Wasze zdanie na poniższe pytanie:

Czy aplikacja, która nie modyfikuje danych wejściowych / wyjściowych (a co za tym idzie jest podatna na SQL Injection) może być bezpieczna dla danych w niej zawartych?

:-)

i trochę zabawy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

www.beldzio.com/calypso/
www.beldzio.com/calypso/index.txt

Zupełny brak modyfikacji danych wejściowych / wyjściowych. Spróbuj się zalogować.

1. Konto test się nie liczy - zostało ono założone by pokazać, że można się zalogować test :: test

2. Żeby złamać Calypso należy się do niego zalogować lub napisać na czym polega zabezpieczenie.

Info proszę na PW żeby nie psuć zabawy innym.

[nospor]

Czy aplikacja, która nie modyfikuje danych wejściowych / wyjściowych (a co za tym idzie jest podatna na SQL Injection) może być bezpieczna dla danych w niej zawartych?

No skoro można sie wlamac na twoja strone, to raczej dane nie sa bezpieczne.

i trochę zabawy

Przeciez to sie lamie podstawowym kodem SQL INjection. Czemu ten test/zabawa ma sluzyc?

[mwojcik]

Nie filtrujac danych wejsciowych zawsze otwierasz drzwi potencjalnym wlamywaczom, wiec to logiczne, ze nie jest bezpieczna dla przechowywanych danych.
SQL Injection - na PW.

[athabus]

Hmmm a mi coś dziwnie (nie)działa.
Po odpowiednim stringu w loginie mam ciasteczka ustawione na John i hasło w md5 ale jak klikam sprawdzenie to mi wyskakuje, że jednak się nie zalogowałem... Ręcznie sprawdzając widzę, że ciasteczka są jednak prawidłowe...

Dodam że jestem na linux i ostatnio też miałem jakieś problemy z odczytywaniem ciasteczek przy jednym ze swoich projektów, więc może to jest przyczyna?

Czy może po prostu jestem jakiś nieudolny?

[bełdzio]

No skoro można sie wlamac na twoja strone, to raczej dane nie sa bezpieczne.

Przeciez to sie lamie podstawowym kodem SQL INjection. Czemu ten test/zabawa ma sluzyc?

podeślij mi dane logowania na pw

Nie filtrujac danych wejsciowych zawsze otwierasz drzwi potencjalnym wlamywaczom, wiec to logiczne, ze nie jest bezpieczna dla przechowywanych danych.
SQL Injection - na PW.

Twój sposób nie pozwala na zalogowanie się (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Dodam że jestem na linux i ostatnio też miałem jakieś problemy z odczytywaniem ciasteczek przy jednym ze swoich projektów, więc może to jest przyczyna?

nie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

polecam przed stwierdzeniem, że to jest lame zalogowanie się

[Hacker]

SqlInjection na PW poszło...

Co robi plik 'calypso.php', bo na localu, jak to wyrzucę to mój sqlinjection działa nawet na potwierdzeniu, a tak to nie...

Ten post edytował Hacker 31.07.2007, 21:58:47

[bełdzio]

@Hacker tak jak pisałem wyżej zaloguj się na te dane i spr czy na pewno to działa. Plik calypso.php ma być odp na pytanie postawione przeze mnie w 1. poście (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Hacker]

Pokaż jeszcze swój pliczek .htaccess głównie chodzi mi o modrewrite (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Jeżeli nie ma w nim przekierowania z calypso.php i plik calypso.php zachowuje się tak samo niezależnie od tego czy jest require-owany, czy nie, to jednak zmieniasz dane wejściowe... (i/lub zamykasz połączenie do bazy (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) )

Ten post edytował Hacker 31.07.2007, 22:34:27

[mwojcik]

Da sie zrobic takie zapytanie, zeby w odpowiedzi dostac "Hmmmm you hacked Calypso :-) Congratulation." (i nie mowie tutaj o zalogowaniu sie na test:test), wiec nie ma tam zadnych przekierowan ani innych sztuczek. Mi sie udalo za 2 podejsciem (dluzszym), jednak czekam na wyjasnienie co, jak i dlaczego tak sie dzieje, bo sprawa jest zastanawiajaca.

[bełdzio]

@mwojcik (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) puściłem Ci inho na PW (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) zrobiłem błąd w kodzie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) idea zabezpieczenia nadal nienaruszona ;-)

gratki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Hacker]

Ale...

[4]=>
array(2) {
["login"]=>
string(4) "test"
["passwd"]=>
string(32) "e54aa2684ec70a80814a8a4f438d8a18"
}

Hash md5('test') to 098f6bcd4621d373cade4e832627b4f6, a nie e54aa2684ec70a80814a8a4f438d8a18...

A więc jak mówiłem modyfikujesz dane wejściowe

[bełdzio]

jak już pisałem nie modyfikuje (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Hacker]

więc kod podany na www.beldzio.com/calypso/index.txt to jakaś ściema?
calypso.php zachowuje się tak samo niezależnie od tego czy jest require-owany, czy nie?

[bełdzio]

ad1. nie ściema index.txt == index.php
ad2. nie zachowuje, w końcu po coś on jest dołączony

[Kicok]

Po sprawdzeniu nagłówków wysyłanych przez przeglądarkę podczas "sprawdzania zalogowania" dla użytkownika test oraz Mike doszedłem do wniosku, że plik calypso.php ma treść:

[PHP] pobierz, plaintext 
<?php
 
	if( $_GET['action'] == 'login-check' && $_COOKIE['login'] != 'test' ) 
	{
		die( 'Ups. You are not logged in :-( Try again.' );
	}
 
?>
[PHP] pobierz, plaintext 

(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)


Co nie zmienia faktu, że da się odczytać loginy i hash'e haseł innych użytkowników - tyle że nie chce mi się ściągać tęczowych tabel żeby to łamać.

[Hacker]

@Kicok

plik calypso.php tak nie wygląda...
-zaloguj się na test i zobacz jaki hash zwraca zapytanie
-zrób SqlInjection i zobacz jaki hash zwróci zapytanie dla użytkownika test...

EDIT:
Hmmm... czy skrypt wykonuje zapytania w niezmienionej formie (tj. w takiej w jakiej wyświetla)? Bo zdaje mi się, że nie..

Ten post edytował Hacker 1.08.2007, 14:53:20

[Jabol]

@Kciok. Zdecydownie się zgadzam. Jeżeli ten kod index.txt to nie jest ten z index.php.

[Kicok]

@Hacker masz rację, nie zauważyłem tego wcześniej. Za to zauważyłem inną rzecz: skrypt ingeruje w wysyłane dane. Wpisz sobie w miejsce loginu: "+" i popatrz na wyświetlone zapytanie - to powinno ci nasunąć sposób myślenia.

Mi się udało zdobyć oryginalny hash hasła do konta Mike i moje wysiłki zostały nagrodzone napisem "Hmmmm you hacked Calypso :-) Congratulation." (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)



Swoją drogą ciekawe jak to jest zrobione. Sam wymyśliłem taką teorię spiskową, że rozszerzenie mysql jest na jego serwerze wyłączone (a włączone jest mysqli albo PDO), a w pliku calypso.php znajdują się napisane w PHP funkcję mysql_connect(), mysql_query() itp.
Dzięki takiemu trickowi bełdzio mógł zastosować proste sprawdzanie składni zapytania SQL, a my myśleliśmy, że to czary ;]

[Hacker]

@Kicok
Lol to z plusem to żadne odkrycie... wpisz w gogle w zmienną get q pomiędzy dwa wyrazy...
Po prostu urldecode zamienia...
Btw. podeślij mi na priva (żeby innym zabawy nie psuć) jak to Mikem zrobiłeś

Ten post edytował Hacker 1.08.2007, 18:26:33

[bełdzio]

@Hacker masz rację, nie zauważyłem tego wcześniej. Za to zauważyłem inną rzecz: skrypt ingeruje w wysyłane dane. Wpisz sobie w miejsce loginu: "+" i popatrz na wyświetlone zapytanie - to powinno ci nasunąć sposób myślenia.

co do "+" to zauważ że w kodzie jest :

[PHP] pobierz, plaintext 
<?php
$_POST = array_map( 'urldecode', $_POST );
?>
[PHP] pobierz, plaintext 

chyba reszty nie muszę wyjaśniać? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

a ten przykładowy kodzik calypso fajny ;-D (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)

@Hacker kod "na Majka" Ci już nic nie da :-) mały bład w kodzie był ;-) tzn linijkę trzeba było przenieść wyżej ;-) mimo to nie wpłyneło to na ideę zabezpieczenia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

@Kicok gr (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) )