[MySQL][PHP]Włam do bazy Opcje

[AniaR]

Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie).

Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła?

Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła?



Ten post edytował AniaR 15.11.2010, 10:37:45

[celbarowicz]

Umieść ten skrypt na obcym serwerze zmień hasło i login , niech wtedy testują i zobaczymy czy są tacy dobrzy. (są programy które odkodują md5 ), znajdziesz je w internecie, w książce PHP5 zaawansowane programowanie opisany jest w miarę bezpieczny sposób logowania- sesje i inne tam...,
Na każdego można mieć haka , dajcie mi tylko człowieka.

http://phpedia.pl/wiki/Jak_odkodowa%C4%87_MD5%3F

Ten post edytował celbarowicz 15.11.2010, 10:53:51

[tr@k]

... nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła?

Jedno jest pewne, że jak zabezpieczysz się przed sql injection to będzie trudniej. O sql injection możesz poczytać tutaj.

Dodatkowo przechowuj tylko hash dla hasła. Zdecydowanie utrudnia to uzyskanie hasła nawet po włamie do bazy.
Pytanie w jaki sposób uzyskali login i hasło, może mają dostęp do ftp?

Co do 'odkodowania md5' - nie można odkodować md5! Co najwyżej można znaleźć ciąg znaków, który daje taki sam hash.

[Daiquiri]

Jeżeli angielski nie stanowi przeszkody możesz zawsze poczytać SM

[Mephistofeles]

Przed SQL Injection najskuteczniej chroni się aplikację używając zapytań preparowanych i podpinania parametrów, ponieważ pod takie zapytanie silnik bazy sam podstawia przekazywane wartości i nie wykonuje SQLa w nich zawartego. Poczytaj w manualu o PDO/mysqli i prepared statements.

[modern-web]

Ja mam jeszcze inny sposób.
Z tego co przeczytałem wnioskuję, że nie znasz się za dobrze na PHP dlatego podam Ci kilka innych metod, które w kilka sekund mogą zmniejszyć ryzyko sforsowania zabezpieczeń Twojego systemu.

1. nie używaj addslashes (bo nie do tego służy) tylko mysql_real_escape_string
2. ogranicz maksymalną ilość znaków w polu nazwy użytkownika i hasła (jeśli username nie będzie dłuższy niż 6 znaków to ustaw max na tyle ile trzeba)
3. szyfruj hasła w SHA1 lub MD5 (sugeruję to pierwsze)
4. po prostu ukryj gdzieś panel logowania dla administratora (i zablokuj dla google bot - none)
5. monitoruj logowania - będziesz wiedział, czy coś jest nie tak [użyj do tego bazy danych, zapisu IP, hosta, daty, godziny, przeglądarki, id sesji i... to chyba wystarczy] - aczkolwiek to już jest tylko dla Twojej informacji - nie zabezpieczy...

Pozdrawiam.

Ten post edytował modern-web 15.11.2010, 15:18:03

[phpion]

2. ogranicz maksymalną ilość znaków w polu nazwy użytkownika i hasła (jeśli username nie będzie dłuższy niż 6 znaków to ustaw max na tyle ile trzeba)

Wybacz, ale w jaki sposób wpłynie to na bezpieczeństwo aplikacji? Moim zdaniem tylko i wyłącznie w sposób negatywny. Wówczas dasz potencjalnemu włamywaczowi informację o maksymalnej długości pola z nazwą użytkownika.

[modern-web]

Nie koniecznie musi być to 6 znaków. Na przykład użytkownik ma nick 'forsa', a max długość ustawić można na 7... Podobnie dlaczego by nie wprowadzić na np. 20 znaków. Przecież nikt nie wybiera tak długiej nazwy użytkownika.
Chodzi bardziej o to byś nie mógł wklepać w pole kawałka zapytania SQL. Bo przepraszam, ale bez ograniczenia to można by zrobić spore zamieszanie...
Każda metoda jest dobra, tak samo każdy ma swój punkt widzenia.
Sądzę, że jest to pewnego typu zabezpieczenie (choć mierne ale zawsze), alternatywne rozwiązanie jego problemu.

Ten post edytował modern-web 15.11.2010, 15:35:29

[markonix]

Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy wpisanej treści w pole hasła.
Fajnie potem sobie poczytać co to hakierzy próbowali wpisać w hasło (w stylu or 1=1).
Najlepiej o błędnych logowaniach informować przez maila - można szybciej zareagować, a jeśli dostaną się do bazy to raporty mogą usunąć.

Co do długości loginu / hasła - ja bym po prostu zaproponował walidacje, która by określała dozwolone znaki (preg_match) i w pregu lub osobnej funkcji także liczbę znaków.

Ten post edytował markonix 15.11.2010, 17:40:15

[Daiquiri]

Nie koniecznie musi być to 6 znaków. Na przykład użytkownik ma nick 'forsa', a max długość ustawić można na 7... Podobnie dlaczego by nie wprowadzić na np. 20 znaków. Przecież nikt nie wybiera tak długiej nazwy użytkownika.

I tu się mylisz. Czasami nazwa użytkownika = adres email.

[CuteOne]

I tu się mylisz. Czasami nazwa użytkownika = adres email.

Na wszystko są sposoby FILTER_VALIDATE_EMAIL

Poza tym argumenty "bo loginem może być data urodzenia" są bezpodstawne - na każdy typ danych znajdziesz metodę zabezpieczenia a skracanie do określonej ilości znaków loginu czy hasła to raczej podstawa

[Daiquiri]

No i co w związku z tym, że istnieje wbudowana walidacja maila? Rozchodzi się o ograniczanie ilości znaków, a adres e-mail może być spokojnie dłuższy niż przykładowe 20 znaków.

@down:
Raczej o to, że ciężko jest czasami ograniczyć liczbę znaków do takiej ilości, żeby taka forma zabezpieczenia miała sens. Jak chcesz się spierać o głupoty to mogę napisać, że nie ma też informacji o tym, że login mailem nie jest.

Ten post edytował Daiquiri 15.11.2010, 18:37:56

[CuteOne]

Rozchodzi się o to, że szukasz dziury gdzie jej nie ma... bo z tego co widziałem [czytałem] nie ma wzmianki o tym, że login to mail...

[Fifi209]

http://phpedia.pl/wiki/Jak_odkodowa%C4%87_MD5%3F

Kto dzisiaj próbuje "odkodować" hashe?
Tęczowe tablice - to jest odpowiedź ;]

@topic
Zobacz sobie teraz logi z serwera, zobacz jakich ataków próbowali, jak modyfikowali adresy, jakie dane przesyłali do Twoich skryptów.
Wtedy będzie można myśleć jak to zabezpieczyć a nie strzelać w ciemno.

[phpion]

Nie koniecznie musi być to 6 znaków. Na przykład użytkownik ma nick 'forsa', a max długość ustawić można na 7... Podobnie dlaczego by nie wprowadzić na np. 20 znaków. Przecież nikt nie wybiera tak długiej nazwy użytkownika.
Chodzi bardziej o to byś nie mógł wklepać w pole kawałka zapytania SQL. Bo przepraszam, ale bez ograniczenia to można by zrobić spore zamieszanie...

Zapewne ograniczysz długość loginu za pomocą atrybutu maxlength, czyż nie? No to mistrzu FireBug i w 5 sekund podmieniam tą wartość na dowolną inną. Jak już chcesz ograniczać to tylko poprzez substr() po stronie aplikacji. Pewnie teraz napiszesz "to miałem na myśli!" w co i tak nie uwierzę.

PS: czepiam się, bo Twoje wypowiedzi mają charakter typu "ja się znam" - chciałbym Cię nieco sprowadzić na ziemię.

Ten post edytował phpion 15.11.2010, 19:46:07

[Fifi209]

chcesz ograniczać to tylko poprzez substr() po stronie aplikacji.

A nie przypadkiem strlen / dla polskich znaków: mb_strlen ? ;]

[luck]

A nie przypadkiem strlen / dla polskich znaków: mb_strlen ? ;]

Chyba nie, bo tym się raczej nie da ograniczyć długości stringa...

[Mephistofeles]

Nie możesz ucinać loginu! W ten sposób użytkownik Test|owy będzie mógł się zalogować na konto Test|era. (| symbolizuje maksymalną długość).

[luck]

Tak czytam tą dyskusję i zastanawiam się, czy jest sens w ogóle dalej się rozwodzić nad skracaniem loginu? Skracasz dane do długości takiej, jaką ma odpowiednie pole w bazie. Resztę musisz i tak zabezpieczyć odpowiednim escapeowaniem zapytań, przed ich wysłaniem do bazy. Kropka. Co z tego, że ograniczysz login, np. do iluś znaków, jak ktoś Ci może w pole z nazwą usera wpisać:

[SQL] pobierz, plaintext 
' OR 1=1;
[SQL] pobierz, plaintext 

Jeśli nie zabezpieczysz kodu przed spreparowanym zapytaniem, to żadne skracanie nic Ci nie da.

[Fifi209]

Chyba nie, bo tym się raczej nie da ograniczyć długości stringa...

A to ciekawe

[PHP] pobierz, plaintext 
if (strlen($string) > 12) {
echo 'Uciekaj !';
}
[PHP] pobierz, plaintext 

Jak nie wiesz, to błagam nie mieszaj w temacie.