[PHP] Bezpieczeństwo engine'u blogowego

[Isadil]

Witam
Skrobnąłem prosty engine blogowy, inspirowany textlog.org, znajdziecie go
tutaj
Mam do was prośbę, zapewne część z was jest w tym bardziej oblatana ode mnie. Czy ktoś mógłby przejrzeć kod i wyłowić jakieś luki? Czy jest coś co pominąłem?

Od razu mówię że luka XSS w dodawaniu postów to nie bug tylko feature : ) Przynajmniej dopóki nie zaimplementuję BBcode albo czegoś takiego.

Z góry dziękuję za pomoc




//na przyszlosc uzywaj roznych hasel ;)

[Mad_Dud]

Jak na razie masz 500 - chyba się .htaccess bawisz ;-)

[rip]

jak ja kocham takie serwerki na linuxie...
szkoda ze juz pass to ssh zmieniony

[Isadil]

Cóż, serwer nie mój tylko wypożyczony ; )

Widzę że coś się jednak znalazło. Ale po stronie engine'u czy serwera?

EDIT, ech, jaki ktoś (h3x niejaki) dowcipny (klik). Niesamowicie. Widać szukałem pomocy na złym forum. Myślałem że trafię na poważnych ludzi, a /*wyciąłem ten fragment wypowiedzi aby nie robić burdelu na forum*/. No ale cóż, shit happens.

[rip]

h3x == ja

blad jest w przekazywaniu zmiennej z geta.

zamiast $_GET['id'] zrob (int)$_GET['id']

luka bedzie zalatana, a jak nauczysz sie lepiej php to dojdziesz do wniosku ze caly skrypt jest zle naspisany.

Ale po stronie engine'u czy serwera?

po twojej stronie, ze do forum miales takie samo haslo, co dalo mi pelny dostep do serwera.

Widać szukałem pomocy na złym forum.

Co ma 1 osoba do calego forum?
Ahh, rozumiem. Wolalbys cichego backdoora, lub brak zainteresowania tematem.
Ja uwazam ze wlasnie dobrze trafiles, gdzie indziej moglby przybyc 1 czy 2 pliki


...i lepiej zmien hasla do maila i innych stronek, bo jutro moge miec zly dzien

[Isadil]

rip - wolałbym kultralne hacked.txt w katalogu + jakiś post jako admin jeśli tak bardzo chcesz sławy : )
A 'owned' całego linux-world to moim zdaniem trochę niepoważne. Ale nie ja jestem autorytetem żeby to oceniać i dywagować.

Zatem rzutujemy na int... możesz napisać czemu akurat tak i z jakim konkretnie zagrożeniem to się wiąże? Może być pw/mail.

Edit - do maila już zmieniłem, reszta się robi. Tak czy siak dzięki za ostrzeżenie.

[rip]

czemu?
serwer sql przyjmuje wartosci jako stringi w ', oraz jaki liczby bez '.
O ile magic quotes chroni w przypadku stringow (nie mozna wyjsc z ', bo jest zamieniane na \') to nie ma zadnej ochrony w przypadku liczby.

where id = 7
where id = 7 union select <- przejdzie

where id = '7'
where id = '7 \' union select' <- nie przejdzie

oczywiscie 7 jest szybsze od '7', dlatego sql puszcza inty.

rip - wolałbym kultralne hacked.txt w katalogu + jakiś post jako admin jeśli tak bardzo chcesz sławy : )
A 'owned' całego linux-world to moim zdaniem trochę niepoważne.

posta moglby ktos przegapic, czerwony napis jakos bardziej rzuca sie w oczy Rozumiem jak sie teraz czujesz, ale coz, kazdy popelnia bledy. Moze next time bedzie odwrotna sytuacja, w co watpie






edit:
majac na mysli 'zmien hasla' mowilem o wszystkich haslach...
A jakos dalej moge sie na ftp zalogowac, bazy, a nawet moj shell nie wywalony ;/

[Isadil]

Co do wszyskich haseł - wszystkich nie zmienię bo DirectAdmin zostało mi odebrane, i nawet wiem dlaczego : P Poproszę kulturalnie o wywalenie kont żeby nie robić kłopotów : P

Za to wyczyszczenie całego mysql i ftp strony (wiem że są backupy itp) uznaję za niekulturalne i niepoważne - chyba że to nie ty tylko jakiś inny.

[rip]

Ja nie wywalam danych. Bo i poco.
A pozatym bazy sa w stanie jakim byly
- parox_tadzik
- parox_linux

moze nie jestes swiadom, ze ten serwis ma tylko 14 userow?

[ryniek]

Fakt, rip sobie zaszalał ale następnym razem już nie baw się wielkimi czerwonymi napisami, tylko strzel coś mniejszego, ale równie widocznego. Będziemy wdzięczni za znalezienie błędów.
Pozdrawiam

moze nie jestes swiadom, ze ten serwis ma tylko 14 userow?

rip, My dopiero się rozwijamy, od czegoś trza zacząć