Testy zabezpieczeń strony WWW (plagiaty.info)

[plagiaty]

Dzień dobry,

na forum dalej mozna spamowac na ile starczy bazy.

Na forum nie można spamować, po prostu interwał został ustawiony na 5 wiadomości / odpowiedz w ciągu 10 minut.

slabe to anty xsrf...
3600 iframow i mam 1 godzine.
choc wystarczy typko 60

Zmienione na mocniejsze...

[Ormi]

Jakiś czas temu ustawiłem user-agent na <script>alert(/JAKIS TAM KOMUNIKAT/)</script>, a teraz przy ustawieniu takiego jest 403 forbidden I mam tu pytanko. Czy user-agent był zapisywany do logów tak, że przy przeglądaniu logów wykonywany był ten kod w js? Jestem ciekawy czy to zadziałało

EDIT: http://plagiaty.info/index.php?core=...uj=e324x3ea332
Kliknąłem zwyczajnie w link aktywacyjny(nie to nie ten co u góry, tak na wszelki wypadek zmieniłem) i error:

Kod:

Parse error: syntax error, unexpected '*' in /var/www/virtual/plagiaty.info/htdocs/corefunction/aktywuj.php on line 7

Zwyczajny syntax w zapytaniu do bazy

Ortograficzny błąd:

Kod:

Wszystkie wpisy zaczynając od najżadziej ocenianych.

To się pisze przez "rz". NAJRZADZIEJ!

Następna rzecz: Resetowanie hasła. Jest możliwość zasrania użytkownika mailami z nowymi hasłami. Powinien być jakiś limit np. możliwość resetowania hasła tylko raz na 24h z danego adresu IP. Wprawdzie nie załatwiłoby to całkiem problemu, ale zawsze coś.

[Eragon Argetlam]

ZNALAZŁEM DZÓIRE W PLAGIATY INFO!!!
WEZME ZA NIOM ABY 200K!!!
I co JESTEM ZIOM?

M.B


-----------------
Jakby co błędy robione specjalnie

A co do testu- faktycznie rozplanowanie tragiczne ale bledy mozna naprawić ...
Widze ze administratorzy pomysleli i zwrocili sie w dobre miejsce...
Pozdrawiam i popieram

Druga sprawa-> serwer bedzie stabilny do puki z tego co widze ispCP OMEGA bedzie stabilne- niestety zapozno dowiedzialem sie bo nie jestem w stanie siegnac po jakiekolwiek linuxa aby pobawic sie ... a jutro juz 8 :|

[plagiaty]

Jakiś czas temu ustawiłem user-agent na <script>alert(/JAKIS TAM KOMUNIKAT/)</script>, a teraz przy ustawieniu takiego jest 403 forbidden I mam tu pytanko. Czy user-agent był zapisywany do logów tak, że przy przeglądaniu logów wykonywany był ten kod w js? Jestem ciekawy czy to zadziałało

Tak, wcześniej nie pomyśleliśmy o filtrowaniu takich zmiennych. Do refleksji skłonił nas ten błąd LFI, więc postawiliśmy Mod Security, i powstawialiśmy troche regułek które filtrują URL-e, właśnie wersje przeglądarki ITP.

Tak serwer zapisał logi

Adres IP xxxx - - [07/Jan/2009:14:35:08 +0100] "GET /imgklaster1/22/hklsy407yi0i0kra34jmxafaj2auzm.jpg HTTP/1.1" 200 6419 "http://plagiaty.info/index.php?core=news" "Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.0.5) Gecko/2008120121 Firefox/3.0.5"

Adres IP xxxx - - [07/Jan/2009:14:35:19 +0100] "GET /index.php?core=zobacz&id=54 HTTP/1.1" 403 1136 "http://plagiaty.info/index.php?core=news" "<script>alert(/HAPPY NEW YEAR/)</script>"

Adres IP xxxx - - [07/Jan/2009:14:35:19 +0100] "GET /errors/inc/errordocs.js HTTP/1.1" 403 1136 "http://plagiaty.info/index.php?core=zobacz&id=54" "<script>alert(/HAPPY NEW YEAR/)</script>"

Adres IP xxxx - - [07/Jan/2009:14:35:20 +0100] "GET /errors/inc/errordocs.css HTTP/1.1" 403 1136 "http://plagiaty.info/index.php?core=zobacz&id=54" "<script>alert(/HAPPY NEW YEAR/)</script>"

Adres IP xxxx - - [07/Jan/2009:14:35:20 +0100] "GET /errors/inc/valid_css.jpg HTTP/1.1" 403 1136 "http://plagiaty.info/index.php?core=zobacz&id=54" "<script>alert(/HAPPY NEW YEAR/)</script>"

Adres IP xxxx - - [07/Jan/2009:14:35:20 +0100] "GET /errors/inc/valid_xhtml.jpg HTTP/1.1" 403 1136 "http://plagiaty.info/index.php?core=zobacz&id=54" "<script>alert(/HAPPY NEW YEAR/)</script>"

Adres IP xxxx - - [07/Jan/2009:14:35:31 +0100] "GET /index.php HTTP/1.1" 403 1136 "-" "<script>alert(/HAPPY NEW YEAR/)</script>"

A, po załadowaniu w firefoxa:



Przy użyciu LFI efekt był by taki sam ;)
Jednym słowem atak udany ^^.

Kliknąłem zwyczajnie w link aktywacyjny(nie to nie ten co u góry, tak na wszelki wypadek zmieniłem) i error:
Kod:

Parse error: syntax error, unexpected '*' in /var/www/virtual/plagiaty.info/htdocs/corefunction/aktywuj.php on line 7

Zwyczajny syntax w zapytaniu do bazy

Specjalnie wstawiłeś jakiś tam separowany ciąg znaków ?
Procedura weryfikacji jest prosta jak świński ogon, jedna klauzula WHERE.
Nie widzę nawet czym by to można wyłożyć, więc pochwal się bo jesteś artystą ;).

Ortograficzny błąd:
Kod:

Wszystkie wpisy zaczynając od najżadziej ocenianych.

To się pisze przez "rz". NAJRZADZIEJ!

Poprawione, nawiasem mówiąc przydała by się dziewczyna ;)

Następna rzecz: Resetowanie hasła. Jest możliwość zasrania użytkownika mailami z nowymi hasłami. Powinien być jakiś limit np. możliwość resetowania hasła tylko raz na 24h z danego adresu IP. Wprawdzie nie załatwiłoby to całkiem problemu, ale zawsze coś.

Mam wrażenie że jest tam captach ?
Nie blokuje on przed właśnie takim zasypaniem użytkownika ?

Jeżeli nie, to może zmienię silnik na ReCaptacha jak przy rejestracji ?

Druga sprawa-> serwer bedzie stabilny do puki z tego co widze ispCP OMEGA bedzie stabilne- niestety zapozno dowiedzialem sie bo nie jestem w stanie siegnac po jakiekolwiek linuxa aby pobawic sie ... a jutro juz 8 :|

ispCP OMEGA -> tak na tym stoi serwer testowy nie będziemy przecież koordynować swoich prac na serwerze bez front-endu.
Po zakończeniu testów, przeniesiemy się na własną maszynę.

Propozycja to Ubuntu Server 8.10 ( powiedzmy na razie rezygnujemy z HA bo nie będzie takiej potrzeby, ale w miare skalowalnie więc 1 maszyna jako Proxy + mod security to w kwestii LB , a następnie ze 2 nody, też zapewne na tej samej dystrybucji co powyzej najnowszy PHP + MYSQL w wersji 5.0 ponieważ wersja 5.1 wyłożyła nam się na Debianie etchu, tak więc na razie jest "nie pewna" po prostu jest chyba nie do dymana).

Do ftp użyjemy chyba dostępu na poziomie SSH, będzie lepiej niż wgrywać proftpd i robić konfiguracje z hasłami.
I standardowo Fail2Ban z jakimś rozsądnym czasem blokady.

A co do testu- faktycznie rozplanowanie tragiczne ale bledy mozna naprawić ...
Widze ze administratorzy pomysleli i zwrocili sie w dobre miejsce...
Pozdrawiam i popieram

Dokładnie, chcemy po prostu żeby strona była bezpieczna, sami siedząc w piwnicy tego nie zrobimy, trzeba porozmawiać z kimś kto siedzi po drugiej stronie ;)

Ja większość czasu zajmowałem się maszynami Windows Server, taka prawda a z programowania to paskal obiektowy, więc też nie jestem autorytetem... manual manual manual ;)

[Ormi]

Co do tego syntaxa - nie, nic specjalnego nie robiłem. Kliknąłem tylko w link aktywacyjny. Po prostu programistom coś się pomyliło i zwyczajnie napisali zapytanie, które zawierało błąd.

[plagiaty]

He he he, nagadałeś o syntaxie zapytania.

Ściągnęliśmy programistę SQL, przeanalizował zapytanie 5 razy po czym doszedł do wniosku że jest poprawne...

Zastąpił znacznik * polami tabeli.

Nic, nie idzie ^^

Po pół godziny przewijania pliku okazało się że u góry
było takie coś

*
//*** Plik rewizja xxx ***
//*** Wlasnosc opzsgu ***

Gwiazdka była nie za komentowana...
Wcieło jej slashe


Tak więc możesz spróbować zarejestrować się jeszcze raz, bo proces kasowania nie aktywowanych kont usunął twój login:

loginkonta data godzina
Ormi 2009-01-09 02:16:39

Zgodnie z sugestią dodaliśmy możliwość wysłania maksymalnie 2 żądań zmiany hasła w ciągu 24 godzin.

Ponadto, dodaliśmy antyforce w komentarzach.

Weryfikowana jest nie tylko to czy jesteśmy ostatnią osobą która odpisała ( to miało być zabezpieczenie przed f5 / 2x button), ale także czy nie napisaliśmy więcej niż 5 komentarzy w ciągu 10 minut ( naliczanie bierzę pod uwage wszystkie komentarze, nie tylko konkretny wpis).