witam,

nie co zrobić z sytuacją, która miała dzisiaj miejsce. kombinowałem już na wszystkie sposoby i nic innego mi nie przychodzi do głowy.
sprawa wygląda tak, że jest serwis JABLKO oraz serwis POMIDOR.
w serwisie JABLKO jest sporo użytkowników, ogólnie serwis technicznie nie jest najlepiej wykonany, użytkownicy twierdzą, że jest dziurawy jak sito.
serwis POMIDOR jest wykonany i zabezpieczony dużo lepiej, aczkolwiek nie wiadomo co hakierowi przyjdzie do głowy i jaką lukę znajdzie.

co miało miejsce?
otóż kilka osób po wejściu na swój profil stwierdziło, że nie ma tam danych, które były jeszcze dzisiaj w południe.

co się okazało?
na profil tych osób zalogowała się niepowołana do tego osoba. logowania do wszystkich serwisów miały miejsce w ciągu jednej godziny.
mechanizmy zastosowane w aplikacji ewidentnie pozwalają stwierdzić, że dane zostały usunięte po zalogowaniu. czyli nie ma tutaj mowy o atakach typu SQL injection czy innych takich. osoba przed usunięciem danych musiała zalogować się na profil autora tych danych.

skąd ta osoba mogła mieć email i hasło do zalogowania?
może z serwisu JABLKO? co by to oznaczało? że hasła w tamtym serwisie przechowywane są w sposób jawny.

poprawcie mnie jeżeli coś źle napisałem. może czegoś nie zauważyłem, nie zwróciłem uwagi?
co o tym sądzicie? ma to sens?

pozdrawiam

A co łączy oba serwisy?

Wspólna użytkowników? W jaki sposób jest weryfikowana?

hmm, łączy je tylko to, że z jednego przeszli na drugi. tzn w tym drugim zarejestrowali się.
niektórzy podali ten sam email i to samo hasło.
oprócz tego nic je nie łączy. w jednym serwisie do logowania służy login i hasło (login jest widoczny b- jest to ares profilu:P) w drugim serwisie logowanie jest za pomocą adresu email oraz hasła. email nie jest nigdzie widoczny. hasło jest w bazie zahashowane (nie md5).
nie ma możliwości zalogowania się bez podania prawidłowego adresu i hasła.

ale jest możliwość przejęcia sesji

a jak wortal podatny na sql injection to i hasła nie trzeba znać aby móc się zalogować.

jak przez sql injection można się zalogować? żeby się zalogować u mnie w serwisie musi zostać wykonana pewna akcja. jak wywołasz tą akcję przez sql injection? zreszta sql injection nie wchodzi w grę.

jaka jest możliwość przejęcia sesji? na czym to polega?

EDIT:
żeby przejąć sesję, użytkownik najpierw musi się zalogować, tak? musi być ta sesja żeby móc ją przejąć.
a z tego co wiem użytkownicy nie byli zalogowani.

Skoro nie wiesz, jak mozna zalogowac sie przez sqlinjection to skad wiesz ze sqlinjection nie wchodzi w gre?

zamiast loginiu: login podam:
login' or 1=1 or 'a

i jesli twoj skrypt jest podatny na sqlinjection to moge sie zalogowac

poczytaj o XSS

hmm, a może to jakaś inna luka w symfony ?

A może to wina niskiego ciśnienia i opadów śniegu?
My nie mamy kodu a Ty nie masz wiedzy o zabezpieczniach. O czym tu dyskutować?

pewnie, nie ma o czym:)
ale po czym wnioskujesz, że nie mam wiedzy o zabezpieczniach? jaka to jest tajemna wiedza, że nie mogłem jej pojąć?

chciałem tylko powiedzieć, że podobno symfony ma zabezpieczenia przez XSS, a dane wprowadzane do bazy są filtrowane.

moze po tym:

ojjj nie bądźcie takimi ignorantami. to pytanie było głupie tak samo jak jest odpowiedź.

a co z adminem, który boi się konkurencji i mógł wykorzystać dane ze swojej bazy?

Tak, jest taka możliwość.

co? jajco
hasła są szyfrowane , wątpię aby bawił się w łamanie np 2000 haseł aby zrobić komuś na złość

u mnie są zahashowane. a skąd mam wiedzieć jak to jest u niego? a Ty skąd to wiesz? może ma jawnie zapisane w bazie, w co mogę uwierzyć sądząc po opiniach użytkowników, którzy zmieniają sobie nawzajem treść postów pisanych na forum:P

Próbujemy Cię uświadomić, że słabo nam idzie wróżbiarstwo ale nie dociera do Ciebie prosty przekaz, więc czego się dziwisz. Na zadadnienie mogło mieć wpływ sto różnych czynników łącznie z fazą książyca.
Przecztaj raz jeszcze to co nam przedstawiłeś i zastanów się czy to są informacje, na podstawie których można coś wnioskować? Nie!

Zleć audyt profesjonaliście i tyle.

rozumiem.
nie opisywałem jakie zabezpieczenia są u mnie w serwisie itd bo na to mam wpływ. mogę tak jak napisałeś zlecić audyt profesjonaliście, mam wgląd w kod, mogę go zmieniać. nie mam jednak dostępu do bazy tamtego serwisu, dlatego chciałem zapytać (bo ja nie dowierzam) czy mogą być jeszcze tacy ludzie, którzy nie szanują danych użytkowników i hasła po prostu sobie wyfrunęły.

Oczywiście, że tacy ludzie są i zawsze będą. Sam tego doświadczyłem. Hasła zapisane w bazie w md5 albo nawet w sha1 nie stanowią w tej chwili żadnego problemu, nawet dla laika. Łamanie przypomina łamanie sklejki. Najlepiej gdybyś podał adresy stron, o których jest mowa albo jakieś inne bardziej przydatne informacje. W końcu nie zawsze musi zawinić skrypt. Bardzo często wina leży po stronie hostingu. Elo

Nie, z dniem 5.02.2009 wszyscy ludzie sa uczciwi i szczerzy, taka mozliwosc nieistnieje.

czemu akurat z tym dniem ?

@AxZx
podaj link do 1 strony podaj do 2 strony , zobaczymy pogadamy

o to mi chodziło. pogadajmy:)

maxmodels.pl
fotomody.pl

Gadajmy, bez pozadnego audytu jest to puste gadanie sluzace chyba tylko do zabijania czasu. Najlepiej wyskrob kase i zamow pozadny audyt u kogos

Postanowiłem sprawdzić jedną i drugą stronę, na razie pobieżnie. Udało mi się znaleźć na jednej oraz na drugiej stronie XSS'a, który wykonuje się w szukajce na maxmodels oraz fotomody. Co najdziwniejsze to na fotomody w szukajce należy wpisać ten kod do obu pól, gdyż wpisując w jednej kod się nie wykona, nie wiem dlaczego. Kod XSS:


Screeny: Screen1  Screen2

tak tak, już to zrobiłem.

z szukajki na fotomody
/miejscowosc/true', function(response){ $('#dodatkowe').html(response); }); }

hmmm skoro już kogoś zamówiłeś to temat chyba stracił sens...

TEn kod wystarczy wpisac raz:


On poprostu w innym miejscu ma luke a nie w inpucie

@AxZx co mowiles na temat symfony i XSS?

że trzeba sobie wszystko samemu zrobić?)

a można prosić o konkretne informacje? bo cookie można pobrać w łatwiejszy sposób bez wpisywania do formularza tego kodu. no chyba że to tylko przykład?



nie koniecznie bo jeszcze nie ma żadnej odpowiedzi od specjalisty.

Tak, to byl tylko przyklad. Przyklad, ktory pokazuje ze twoj skytp jest podatny na XSS czemu tak zawziecie zaprzeczales

ps: Pamietaj ze my tu mowimy o pobraniu cudzych cookie ALe juz dzieki temu przykladowi mozna komus wykrasc cookie (choc w sumie nie, bo forma tylko postem mozna wyslac i nie podam nikomu spreparowanego linka) i sie zalogowac (jesli nie masz dodatkowych zabezpieczen)

nie zaprzeczałem zawzięcie, tylko sugerowałem się tym co jest napisane w Symfony doc.
bardziej zawzięcie zaprzeczałem sql inection.

ciekawe jest to, że te osoby nie logowały się od paru dni w tym serwisie. o kradzieży cookie chyba nie można mówić.

spróbujcie zalogować się na jakieś konto nie znając emaila i hasła.

Niemalze w kazdym Twoim poscie jest: chyba, nie można, nie ma, nie da sie....
A my ci ciagle pokazujemy ze jednak jest na odwrot.

Mowisz ze nie logowaly sie przez kilka dni. No ok, ale kto powiedzial ze hackerzy wykradl te dane dopiero wczoraj? Moze wykradli je miesiac temu a dopiero niedawno ich uzyli

No tak, a potem pewnego pieknego wieczora zapuka do mnie policja....

właśnie dlatego piszę 'chyba' żebyście mnie w razie czego wyprowadzili z błędu:)
przecież jakbym był czegoś pewien to bym nie zakładał tego tematu. o to chodzi, że człowiek czasem o podstawowych rzeczach nie pomyśli a robi system operacyjny:) dlatego czasem dobrze jest skonsultować pewne kwestie (podstawowe) z większą grupą osób.

a jeszcze sprawa tego, że mógł wykraść dane wcześniej. ale co wykradł? logując się do swojego konta nie ma możliwości odczytania hasła. więc nawet jak kiedyś tam przechwycił sesję to jak zdołał to wykorzystać żeby dopiero wczoraj to wykorzystać? no i co za głupek wykorzystał to w kilku kontach na raz z tego samego IP (neostrada) ?

ale ty to tak mowisz, jakby z Twoje strony to byl pewnik

zapodaj jakies przykladowe konto testowe, to se popatrze lepiej co i jak

I pisemna zgode na test penetracyjny, inaczej bym sie na twoim miejscu tego nie tykal.

ale ja chce tylko przejrzec a nie tykac


I potwierdzenie przelewu na moje konto

email: "heniahac@no-mail.pl"
hasło: "heniahac"

to teraz ja coś powiem niepewnie licząc na sprostowanie w razie pomyłki:

jeśli wejdziesz na czyjeś konto czy coś ale nic nie zepsujesz to chyba policja nic ci zrobić nie może, szkód nie wyrządziłeś

Czyli rozumiem ze moge wejsc do Ciebie do domu, poszperac w szafkach i wyjsc jak gdyby nigdy nic a policja tez mi nie ma prawa nic zrobic?

nie możesz wejść do czyjegoś domu, bo jest to wtedy naruszenie miru domowego:)

ale tutaj dostajesz moje zaproszenie, zapraszam Cię do mojego 'domu', ale tylko sobie pooglądaj. nikomu danych nie usuwaj.

hmmm no niby tak , ale jeśli widzisz u sąsiada nie domknięte drzwi , pukasz/zaglądasz (wchodzisz na jego konto) np. czy nie włam,
i informujesz go że drzwi nie zamkną ... to przestępstwo ?

Jakikolwiek nieutoryzowany dostep do miejsca/zasobu jest lamaniem prawa.

AxZx jak ja zaprosze cie do mojego domu www.interia.pl i powiem bys sobie wchodzil na cudze konta to uwieżysz ze interia to moj serwis?

Ale drzwi są zamkniete. Ja mowie o wejsci z udzialem wytrycha

chyba nie po to chciałeś konto testowe żeby teraz się przekomarzać:)

czyli wychodzi na to że jeśli wykryję lukę na czyimś serwisie i poinformuję właściciela to łamię prawo bo wykryłem błąd w zabezpieczeniu...

@AxZx nie,tylko mowie ze takie zaproszenie jak twoje to jest nic nie warte - to wszystko

@Spawnm
http://forum.php.pl/index.php?showtopic=64307&hl=luka

i skonczmy w tym temacie ten temat

Nie, wpadniecie na blad to nie jest lamanie prawa, ale celowe bawienie sie XSS zeby znalesc blad i wykorzystanie go juz jak najbardziej.

powiem Wam, że jednak miałem rację. przekonuję się o tym dodając kolejne mechanizmy pozwalające ustalić szkodnika.
otóż oszust zaatakował kolejny raz. kolejnemu użytkownikowi usunął dane. jak się okazało ta osoba również miała dane w serwisie maxmodels.pl

jest to niezdrowa, chora i szkodliwa konkurencja!

Jest to szkodliwy brak zabezpieczeń!

Projektując drzwi antywłamaniowe musisz je wypróbować tak, jak zrobiłby to złodziej.

jeżeli masz konkretne braki zabezpieczeń to napisz proszę.
jak na razie wszystko jednak wskazuje na to, że ktoś posłużył się listą adresów email i haseł.

Ja postaram się być na tyle konkretny na ile pozwalają udostępnione przez Ciebie informacje: No cóż. Chyba ktoś się włamał.

Przecież poprzednicy się tyle naprodukowali na XSS...

ja też się sporo naprodukowałem, że przez XSS nie da się odczytać i odgadnąć hasła z bazy.
jeżeli chodzi o przechwycenie sesji to też nie tu jest problem, bo ci użytkownicy nie logowali się od kilku dni - nie było sesji.