zabezpieczenia popularnych stron www...

[lukasz6547]

Podzielcie sie swoimi ciekawymi odkryciami co do luk na stronach www...a to moje odkrycia:
-około 3 miesiące temu(może dalej jest) na nasza-klasa był błąd niedostatecznego sprawdzania zmiennej w polu formularza rejestracji-login wiec przy sprytnie spreparowanym kodzie można bvyło wykonac dowolny skrypt po stronie serwera bądz odwiedzających z racji tego że cała strona jest dynamicznie budowana poprzez polecenia require...(
chodzi o to: jestes zalogowany jako imie nazwisko a na dodatek można sql injection przy sprytnym sposobie
-www.allegro.pl ktory twierdzi ze jest zabezpieczony przed keyloggerami- tak naprawde umożliwia odczytanie wpisywanych przez nie znaki z poziomu assemblera...(zabezpiecza przed oprogramowaniem moniturojącym na serwie)
-www.wp.pl przy przeglądaniu nowych artykułw jest podatne na sql injection z racji zle sformuowanego zapytania lecz wszystko odbywa sie getem wiec zastrezyk wymagałby sprytu a nawet mało prawdopodobne jest wykonanie...
-na wp jest multum błedw oprocz tego łatwiejszych w wykorzystaniu...
..a wy co znalezliscie ciekawego na czesto odwiedzanych stronach

[GSG-9]

..a wy co znalezliscie ciekawego na czesto odwiedzanych stronach

XSS, SQL, LFI, RFI, RCE, AFD, PCI, Bypass, SCD
ZUS, FBI, KGB, i inne firmy na trzy literki

[lukasz6547]

przyszedl mi ciekawy plan ataku ciekawy plan ataku(tak sobie eksperymentuje z nudow osiagniecie jednego celu na 20 sposobow (odczytanie ustawien) )...mianowice np. na naszej klasie przy rejestracji mozna zapisac do bazy danych nazwe zmiennej php poprzez formularz w polu login...i nastepnie po zalogowaniu w linijce nie pojawi sie zostales zalogowany jako Łukasz moje_nazwisko tylko np. wykona sie fukcja phpinfo()...jak wam sie wydaje ciekawy pomysl

[ryniek]

to spróbuj tego jak uważasz że wypali i nikt Cię nie nakryje. a jak nie, to kombinuj dalej.

[lukasz6547]

nie znalazłem na necie opisu takiego ataku, a przed wykonaniem musze sobie wyobraźić jak to sie wszsystko bedzie dzaiło- nie chce isc na łatwizne...skoro nikt na to nie wpadł do tej pory to sie podziele z wami moimi premysleniami...
SZCZEGOLY:
na kazdej stronie gdzie wystepuje system autoryzacjii zmienne z bazy danych sa jakos wykorzystywane:czesto wysaietlane kto jest zalogowany-co jest najbardziej niebezpieczne...aby wykonac ten atak trzeba sie wykazac wyobraznia i biegla znajomoscia php, perla, pythona innymi jezykami zwiazanymi z dynamicznymi www...w pierwszym rzędzie musowo obejrzec strone www po autoryzacji i wywnioskowac w jaki sposob zmienne z bazy danych sa wykorzystywane w celu opracowania techniki ktora sie wykorzysta...
dla przykladu rejestrujemy sie z nazwa uzytkownika phpinfo() i jakims haslem, a nastepnie logujemy sie
i np skrypt jest podobny do tego.:
$login=$_post[login']; //w tym momenie przypisujemy wartosc zwracana
echo $login; //tu wyswietlamy co zrwrocila funkcja
oczywiscie przyjalem ze funkcja cos zwraca co nam pomoze-bo musi...
podalem banalny przypadek ale dobrze ilustruje o co chodzi...
w tym ataku jestesmy zazwyczaj ograniczeni przez sesje wiec prawdopodobienstwo wykrycia jest mniejsze.(tylko my zobaczymy wynik) wpisywanie funkcji do np pola login i haslo aby pozniej pobrobowac zeby wykonac jakis cel nizbedny np do otwarcia pliku jest niemozliwy poniewaz nie mozna powiazac argumentow funkcjii:
w takim przypadku trzeba funkcji podac inne funkcje i ograniczyc nawiasami
a(c=b(r=f(), s=k(p=r))
ale w wiekszosci przypdakow pola sa ograniczone przez okreslona liczbe znakow, alo mozna LICZYC NA SZCZESCIE

skutecznosc ataku moim zdaniem jest ogromna bo wszedzie jest formularz ktorych pola zapisywane sa do bazy danych a nastepnie w jakis psosob nimi dysponowane... ale ma ograniczone możliwosci ze wzgledu na ogranicznie pol ale to jest sposob na np. odzczytanie poufnych danych itp...

[TQM]

SZCZEGOLY:
na kazdej stronie gdzie wystepuje system autoryzacjii zmienne z bazy danych sa jakos wykorzystywane:czesto wysaietlane kto jest zalogowany-co jest najbardziej niebezpieczne...

... dlatego powinno sie zwracac cos w stylu 'Witaj Imie' albo 'Zalogowany jako: Imie Nazwisko' a nie 'Zalogowany jako: LOGIN'. W tej sytuacji to co podales lekko mija sie z celem, bo logika aplikacji i dane w bazie dzialaja dla Ciebie jak czarna skrzynka - nie ma za bardzo co wnioskowac :P bo loginu i tak nie widzisz :P

[lukasz6547]

a nie prawda...np. jak wpisywales do dwoch pol formularza: do jednego imie a do drugiego nazwisko to mozna sie domyslec zz byl operator laczenia ciagow a wtedy mozna wykonac zadanie skaldajace sie z dwoch instrukcjii...albo jak sam nick jest wyswietlany to mozna wykonac 1-dną instrukcje ewentualnie zagniezdzic je w sobie...a phpinfo jest funkcja ktora aby wyswietlic informacje nie porzebuje echo/print tylko dzialan na nich...po doglebniej analizie mozna wywynioskowac co jak sie dzieje...intuicja...

[GSG-9]

kk, jak bedziesz podmienial index to mnei pozdrow

[TQM]

Taaaa... ale Twoja logika juz nie podpowiada, ze czlowiek loguje sie uzywajac loginu i hasla a imie i nazwisko czy co tam jeszcze jest wyciagane z bazy i wyswietlane a nie podawane przy logowaniu - tak to przynajmniej wyglada z Twojego opisu.

[lukasz6547]

Taaaa... ale Twoja logika juz nie podpowiada, ze czlowiek loguje sie uzywajac loginu i hasla a imie i nazwisko czy co tam jeszcze jest wyciagane z bazy i wyswietlane a nie podawane przy logowaniu - tak to przynajmniej wyglada z Twojego opisu.

zaleznie od implementacjii, ja posluzylem sie tylko przykladem, bo sposobow jest ultum i ktorys pewnie bedzie skuteczny..
ja bym strone intenetową porownal do kolorowej skrzynki ktora ma kolor zalezny od tego co jest w srodku...a po zrobiniu takiej skrzynki mozna po kolorze ocenic zawartosc po samym kolorze bez znania zawartosci (mniejwiecej)...jak potrafisz programowac w jezyku skryptowym to po tym co sie dzieje po kliknieciu lub wpisaniu czegos do formularza potrafisz wywniokowac co sie dzieje w skrypcie...oczywiscie nie mozna miec 100% pewnosci poniewaz trzeba troche eksperymentowac jezeli ma sie o tym pojecie bo jak nie to i tygodniowe eksperymenty nie pomogą ani troche...zaloguj sie na naza klasa i zobacz co sie dokladnie tam dzieje...albo wejdz w panel uzytkownika na hack.pl...
zalzmy ze do naiwasu jest dodawny jakis znak aby wyknac blad wykonyania w czasie zapisywnia do bazy ale przed wyswietelniem jest wszystko zdejmowane (ten znak) a tam zostaje phpinfo()