niezabezpieczone dane, 2 różne serwisy, głupia sprawa |
niezabezpieczone dane, 2 różne serwisy, głupia sprawa |
16.02.2009, 02:00:19
Post
#1
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
witam,
nie co zrobić z sytuacją, która miała dzisiaj miejsce. kombinowałem już na wszystkie sposoby i nic innego mi nie przychodzi do głowy. sprawa wygląda tak, że jest serwis JABLKO oraz serwis POMIDOR. w serwisie JABLKO jest sporo użytkowników, ogólnie serwis technicznie nie jest najlepiej wykonany, użytkownicy twierdzą, że jest dziurawy jak sito. serwis POMIDOR jest wykonany i zabezpieczony dużo lepiej, aczkolwiek nie wiadomo co hakierowi przyjdzie do głowy i jaką lukę znajdzie. co miało miejsce? otóż kilka osób po wejściu na swój profil stwierdziło, że nie ma tam danych, które były jeszcze dzisiaj w południe. co się okazało? na profil tych osób zalogowała się niepowołana do tego osoba. logowania do wszystkich serwisów miały miejsce w ciągu jednej godziny. mechanizmy zastosowane w aplikacji ewidentnie pozwalają stwierdzić, że dane zostały usunięte po zalogowaniu. czyli nie ma tutaj mowy o atakach typu SQL injection czy innych takich. osoba przed usunięciem danych musiała zalogować się na profil autora tych danych. skąd ta osoba mogła mieć email i hasło do zalogowania? może z serwisu JABLKO? co by to oznaczało? że hasła w tamtym serwisie przechowywane są w sposób jawny. poprawcie mnie jeżeli coś źle napisałem. może czegoś nie zauważyłem, nie zwróciłem uwagi? co o tym sądzicie? ma to sens? pozdrawiam -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 02:25:38
Post
#2
|
|
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz |
A co łączy oba serwisy?
Wspólna użytkowników? W jaki sposób jest weryfikowana? |
|
|
16.02.2009, 10:41:40
Post
#3
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
hmm, łączy je tylko to, że z jednego przeszli na drugi. tzn w tym drugim zarejestrowali się.
niektórzy podali ten sam email i to samo hasło. oprócz tego nic je nie łączy. w jednym serwisie do logowania służy login i hasło (login jest widoczny b- jest to ares profilu:P) w drugim serwisie logowanie jest za pomocą adresu email oraz hasła. email nie jest nigdzie widoczny. hasło jest w bazie zahashowane (nie md5). nie ma możliwości zalogowania się bez podania prawidłowego adresu i hasła. -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 10:52:01
Post
#4
|
|
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
ale jest możliwość przejęcia sesji
a jak wortal podatny na sql injection to i hasła nie trzeba znać aby móc się zalogować. |
|
|
16.02.2009, 11:27:35
Post
#5
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
ale jest możliwość przejęcia sesji a jak wortal podatny na sql injection to i hasła nie trzeba znać aby móc się zalogować. jak przez sql injection można się zalogować? żeby się zalogować u mnie w serwisie musi zostać wykonana pewna akcja. jak wywołasz tą akcję przez sql injection? zreszta sql injection nie wchodzi w grę. jaka jest możliwość przejęcia sesji? na czym to polega? EDIT: żeby przejąć sesję, użytkownik najpierw musi się zalogować, tak? musi być ta sesja żeby móc ją przejąć. a z tego co wiem użytkownicy nie byli zalogowani. Ten post edytował AxZx 16.02.2009, 11:30:39 -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 11:32:11
Post
#6
|
|
Grupa: Moderatorzy Postów: 36 455 Pomógł: 6292 Dołączył: 27.12.2004 |
Cytat jak wywołasz tą akcję przez sql injection? zreszta sql injection nie wchodzi w grę. Skoro nie wiesz, jak mozna zalogowac sie przez sqlinjection to skad wiesz ze sqlinjection nie wchodzi w gre? zamiast loginiu: login podam: login' or 1=1 or 'a i jesli twoj skrypt jest podatny na sqlinjection to moge sie zalogowac Cytat jaka jest możliwość przejęcia sesji? na czym to polega? poczytaj o XSS
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
16.02.2009, 11:43:27
Post
#7
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
Skoro nie wiesz, jak mozna zalogowac sie przez sqlinjection to skad wiesz ze sqlinjection nie wchodzi w gre? zamiast loginiu: login podam: login' or 1=1 or 'a i jesli twoj skrypt jest podatny na sqlinjection to moge sie zalogowac poczytaj o XSS hmm, a może to jakaś inna luka w symfony ? -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 11:45:44
Post
#8
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%) |
|
|
|
16.02.2009, 11:52:27
Post
#9
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
A może to wina niskiego ciśnienia i opadów śniegu? My nie mamy kodu a Ty nie masz wiedzy o zabezpieczniach. O czym tu dyskutować? pewnie, nie ma o czym:) ale po czym wnioskujesz, że nie mam wiedzy o zabezpieczniach? jaka to jest tajemna wiedza, że nie mogłem jej pojąć? chciałem tylko powiedzieć, że podobno symfony ma zabezpieczenia przez XSS, a dane wprowadzane do bazy są filtrowane. -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 11:56:18
Post
#10
|
|
Grupa: Moderatorzy Postów: 36 455 Pomógł: 6292 Dołączył: 27.12.2004 |
Cytat ale po czym wnioskujesz, że nie mam wiedzy o zabezpieczniach moze po tym: Cytat jak przez sql injection można się zalogować?
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
16.02.2009, 11:59:57
Post
#11
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
moze po tym: ojjj nie bądźcie takimi ignorantami. to pytanie było głupie tak samo jak jest odpowiedź. a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy? -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 12:02:39
Post
#12
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%) |
|
|
|
16.02.2009, 12:03:45
Post
#13
|
|
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
ojjj nie bądźcie takimi ignorantami. to pytanie było głupie tak samo jak jest odpowiedź. a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy? co? jajco hasła są szyfrowane , wątpię aby bawił się w łamanie np 2000 haseł aby zrobić komuś na złość |
|
|
16.02.2009, 12:18:32
Post
#14
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
co? jajco hasła są szyfrowane , wątpię aby bawił się w łamanie np 2000 haseł aby zrobić komuś na złość u mnie są zahashowane. a skąd mam wiedzieć jak to jest u niego? a Ty skąd to wiesz? może ma jawnie zapisane w bazie, w co mogę uwierzyć sądząc po opiniach użytkowników, którzy zmieniają sobie nawzajem treść postów pisanych na forum:P -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 12:22:18
Post
#15
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%) |
a Ty skąd to wiesz? Próbujemy Cię uświadomić, że słabo nam idzie wróżbiarstwo ale nie dociera do Ciebie prosty przekaz, więc czego się dziwisz. Na zadadnienie mogło mieć wpływ sto różnych czynników łącznie z fazą książyca.Przecztaj raz jeszcze to co nam przedstawiłeś i zastanów się czy to są informacje, na podstawie których można coś wnioskować? Nie! Zleć audyt profesjonaliście i tyle. |
|
|
16.02.2009, 12:26:19
Post
#16
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
Próbujemy Cię uświadomić, że słabo nam idzie wróżbiarstwo ale nie dociera do Ciebie prosty przekaz, więc czego się dziwisz. Na zadadnienie mogło mieć wpływ sto różnych czynników łącznie z fazą książyca. Przecztaj raz jeszcze to co nam przedstawiłeś i zastanów się czy to są informacje, na podstawie których można coś wnioskować? Nie! Zleć audyt profesjonaliście i tyle. rozumiem. nie opisywałem jakie zabezpieczenia są u mnie w serwisie itd bo na to mam wpływ. mogę tak jak napisałeś zlecić audyt profesjonaliście, mam wgląd w kod, mogę go zmieniać. nie mam jednak dostępu do bazy tamtego serwisu, dlatego chciałem zapytać (bo ja nie dowierzam) czy mogą być jeszcze tacy ludzie, którzy nie szanują danych użytkowników i hasła po prostu sobie wyfrunęły. -------------------- aplikacje internetowe | Symfony
|
|
|
16.02.2009, 12:49:25
Post
#17
|
|
Grupa: Zarejestrowani Postów: 69 Pomógł: 11 Dołączył: 5.10.2008 Skąd: Wielkopolska Ostrzeżenie: (0%) |
Oczywiście, że tacy ludzie są i zawsze będą. Sam tego doświadczyłem. Hasła zapisane w bazie w md5 albo nawet w sha1 nie stanowią w tej chwili żadnego problemu, nawet dla laika. Łamanie przypomina łamanie sklejki. Najlepiej gdybyś podał adresy stron, o których jest mowa albo jakieś inne bardziej przydatne informacje. W końcu nie zawsze musi zawinić skrypt. Bardzo często wina leży po stronie hostingu. Elo
|
|
|
16.02.2009, 12:50:39
Post
#18
|
|
TAO programowania Grupa: Zarejestrowani Postów: 340 Pomógł: 3 Dołączył: 25.03.2003 Skąd: ze słoika Ostrzeżenie: (30%) |
Nie, z dniem 5.02.2009 wszyscy ludzie sa uczciwi i szczerzy, taka mozliwosc nieistnieje.
-------------------- |
|
|
16.02.2009, 12:57:10
Post
#19
|
|
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
|
|
|
16.02.2009, 13:00:52
Post
#20
|
|
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%) |
o to mi chodziło. pogadajmy:)
maxmodels.pl fotomody.pl -------------------- aplikacje internetowe | Symfony
|
|
|
Wersja Lo-Fi | Aktualny czas: 24.04.2024 - 23:24 |