niezabezpieczone dane, 2 różne serwisy, głupia sprawa Opcje

[AxZx]

witam,

nie co zrobić z sytuacją, która miała dzisiaj miejsce. kombinowałem już na wszystkie sposoby i nic innego mi nie przychodzi do głowy.
sprawa wygląda tak, że jest serwis JABLKO oraz serwis POMIDOR.
w serwisie JABLKO jest sporo użytkowników, ogólnie serwis technicznie nie jest najlepiej wykonany, użytkownicy twierdzą, że jest dziurawy jak sito.
serwis POMIDOR jest wykonany i zabezpieczony dużo lepiej, aczkolwiek nie wiadomo co hakierowi przyjdzie do głowy i jaką lukę znajdzie.

co miało miejsce?
otóż kilka osób po wejściu na swój profil stwierdziło, że nie ma tam danych, które były jeszcze dzisiaj w południe.

co się okazało?
na profil tych osób zalogowała się niepowołana do tego osoba. logowania do wszystkich serwisów miały miejsce w ciągu jednej godziny.
mechanizmy zastosowane w aplikacji ewidentnie pozwalają stwierdzić, że dane zostały usunięte po zalogowaniu. czyli nie ma tutaj mowy o atakach typu SQL injection czy innych takich. osoba przed usunięciem danych musiała zalogować się na profil autora tych danych.

skąd ta osoba mogła mieć email i hasło do zalogowania?
może z serwisu JABLKO? co by to oznaczało? że hasła w tamtym serwisie przechowywane są w sposób jawny.

poprawcie mnie jeżeli coś źle napisałem. może czegoś nie zauważyłem, nie zwróciłem uwagi?
co o tym sądzicie? ma to sens?

pozdrawiam

[hwao]

A co łączy oba serwisy?

Wspólna użytkowników? W jaki sposób jest weryfikowana?

[AxZx]

hmm, łączy je tylko to, że z jednego przeszli na drugi. tzn w tym drugim zarejestrowali się.
niektórzy podali ten sam email i to samo hasło.
oprócz tego nic je nie łączy. w jednym serwisie do logowania służy login i hasło (login jest widoczny b- jest to ares profilu:P) w drugim serwisie logowanie jest za pomocą adresu email oraz hasła. email nie jest nigdzie widoczny. hasło jest w bazie zahashowane (nie md5).
nie ma możliwości zalogowania się bez podania prawidłowego adresu i hasła.

[Spawnm]

ale jest możliwość przejęcia sesji

a jak wortal podatny na sql injection to i hasła nie trzeba znać aby móc się zalogować.

[AxZx]

ale jest możliwość przejęcia sesji

a jak wortal podatny na sql injection to i hasła nie trzeba znać aby móc się zalogować.

jak przez sql injection można się zalogować? żeby się zalogować u mnie w serwisie musi zostać wykonana pewna akcja. jak wywołasz tą akcję przez sql injection? zreszta sql injection nie wchodzi w grę.

jaka jest możliwość przejęcia sesji? na czym to polega?

EDIT:
żeby przejąć sesję, użytkownik najpierw musi się zalogować, tak? musi być ta sesja żeby móc ją przejąć.
a z tego co wiem użytkownicy nie byli zalogowani.

Ten post edytował AxZx 16.02.2009, 11:30:39

[nospor]

jak wywołasz tą akcję przez sql injection? zreszta sql injection nie wchodzi w grę.

Skoro nie wiesz, jak mozna zalogowac sie przez sqlinjection to skad wiesz ze sqlinjection nie wchodzi w gre?

zamiast loginiu: login podam:
login' or 1=1 or 'a

i jesli twoj skrypt jest podatny na sqlinjection to moge sie zalogowac

jaka jest możliwość przejęcia sesji? na czym to polega?

poczytaj o XSS

[AxZx]

Skoro nie wiesz, jak mozna zalogowac sie przez sqlinjection to skad wiesz ze sqlinjection nie wchodzi w gre?

zamiast loginiu: login podam:
login' or 1=1 or 'a

i jesli twoj skrypt jest podatny na sqlinjection to moge sie zalogowac

poczytaj o XSS

hmm, a może to jakaś inna luka w symfony ?

[mike]

hmm, a może to jakaś inna luka w symfony ?

A może to wina niskiego ciśnienia i opadów śniegu?
My nie mamy kodu a Ty nie masz wiedzy o zabezpieczniach. O czym tu dyskutować?

[AxZx]

A może to wina niskiego ciśnienia i opadów śniegu?
My nie mamy kodu a Ty nie masz wiedzy o zabezpieczniach. O czym tu dyskutować?

pewnie, nie ma o czym:)
ale po czym wnioskujesz, że nie mam wiedzy o zabezpieczniach? jaka to jest tajemna wiedza, że nie mogłem jej pojąć?

chciałem tylko powiedzieć, że podobno symfony ma zabezpieczenia przez XSS, a dane wprowadzane do bazy są filtrowane.

[nospor]

ale po czym wnioskujesz, że nie mam wiedzy o zabezpieczniach

moze po tym:

jak przez sql injection można się zalogować?

[AxZx]

moze po tym:

ojjj nie bądźcie takimi ignorantami. to pytanie było głupie tak samo jak jest odpowiedź.

a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy?

[mike]

a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy?

Tak, jest taka możliwość.

[Spawnm]

ojjj nie bądźcie takimi ignorantami. to pytanie było głupie tak samo jak jest odpowiedź.

a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy?

co? jajco
hasła są szyfrowane , wątpię aby bawił się w łamanie np 2000 haseł aby zrobić komuś na złość

[AxZx]

co? jajco
hasła są szyfrowane , wątpię aby bawił się w łamanie np 2000 haseł aby zrobić komuś na złość

u mnie są zahashowane. a skąd mam wiedzieć jak to jest u niego? a Ty skąd to wiesz? może ma jawnie zapisane w bazie, w co mogę uwierzyć sądząc po opiniach użytkowników, którzy zmieniają sobie nawzajem treść postów pisanych na forum:P

[mike]

a Ty skąd to wiesz?

Próbujemy Cię uświadomić, że słabo nam idzie wróżbiarstwo ale nie dociera do Ciebie prosty przekaz, więc czego się dziwisz. Na zadadnienie mogło mieć wpływ sto różnych czynników łącznie z fazą książyca.
Przecztaj raz jeszcze to co nam przedstawiłeś i zastanów się czy to są informacje, na podstawie których można coś wnioskować? Nie!

Zleć audyt profesjonaliście i tyle.

[AxZx]

Próbujemy Cię uświadomić, że słabo nam idzie wróżbiarstwo ale nie dociera do Ciebie prosty przekaz, więc czego się dziwisz. Na zadadnienie mogło mieć wpływ sto różnych czynników łącznie z fazą książyca.
Przecztaj raz jeszcze to co nam przedstawiłeś i zastanów się czy to są informacje, na podstawie których można coś wnioskować? Nie!

Zleć audyt profesjonaliście i tyle.

rozumiem.
nie opisywałem jakie zabezpieczenia są u mnie w serwisie itd bo na to mam wpływ. mogę tak jak napisałeś zlecić audyt profesjonaliście, mam wgląd w kod, mogę go zmieniać. nie mam jednak dostępu do bazy tamtego serwisu, dlatego chciałem zapytać (bo ja nie dowierzam) czy mogą być jeszcze tacy ludzie, którzy nie szanują danych użytkowników i hasła po prostu sobie wyfrunęły.

[lwc]

Oczywiście, że tacy ludzie są i zawsze będą. Sam tego doświadczyłem. Hasła zapisane w bazie w md5 albo nawet w sha1 nie stanowią w tej chwili żadnego problemu, nawet dla laika. Łamanie przypomina łamanie sklejki. Najlepiej gdybyś podał adresy stron, o których jest mowa albo jakieś inne bardziej przydatne informacje. W końcu nie zawsze musi zawinić skrypt. Bardzo często wina leży po stronie hostingu. Elo

[Puciek]

Nie, z dniem 5.02.2009 wszyscy ludzie sa uczciwi i szczerzy, taka mozliwosc nieistnieje.

[Spawnm]

Nie, z dniem 5.02.2009 wszyscy ludzie sa uczciwi i szczerzy, taka mozliwosc nieistnieje.

czemu akurat z tym dniem ?

@AxZx
podaj link do 1 strony podaj do 2 strony , zobaczymy pogadamy

[AxZx]

o to mi chodziło. pogadajmy:)

maxmodels.pl
fotomody.pl