http://www.zpodziemia.pl


Witam wszystkich.

Chciałbym Wam przedstawić mój portal muzyczny w którym znajdziecie wszystkie demówki do ściągnięcia. Jestem w 100% autorem kodu. Myślę, że jest się czymś pochwalić. Jest to ponad 12 tys. linijek. Jakieś 4 miesiące to pisałem. Także czekam na Wasze opinie

Masa dziur XSS typu http://www.zpodziemia.pl/wojewodztwo.php?p...2)%3C/script%3E

EDIT:
Twój filtr sprawdzający istnienie konta jest badziewny. Bez trudu go ominąłem i założyłem konto Sławo oraz konto admin chociaż oba wczesniej istniały. Co więcej mając taki sam login jestem w stanie zmieniać rózne rzeczy u Ciebie w profillu ;]

EDIT2:
WTF?! nawet poczte mogę czytać

no właśnie skumałem, że ktoś mi tu coś namieszał i że to ktoś z php.pl jak to zrobiłeś? i jak mogę to poprawić? chyba hasła do bazy danych nie wykradłeś? Dopiero co zaczynam ogarniać temat pisania takich rozbudowanych aplikacji.

A ja sie doczepie do miniaturek.
Kto robi miniaturki z oryginalnej wielkosci zdjec? Masakra!
Do miniaturek sa odpowiednie skrypty, jesli juz sam nie potrafisz zrobic.
Przez to strona wolno sie wczytuje i ogolnie brzydki efekt, jak wczytuja sie zdjecia...

EDIT:
Po rejestracji/logowaniu strona wraca do....pustej strony - nie zawsze sie tak dzieje, ale sie dzieje.
Musisz nad tym popracowac.

wiem, wiem... w przyszłości myślę to zmienić.. bo chciałem napisać żeby były miniaturki i duże zdjęcia ale to mnie jakoś przerosło i zostawiłem tak Aczkolwiek w przyszłości to zmienię jak będzie zainteresowanie moim projektem ;]

jak się skończysz bawić z tymi kontami to daj znać to je usune.

Ja?
Ja sie nie bawie

ale ktoś pewnie stąd:P bo zaklada konta typu admin hehe a akurat tak się składa, że nazwa konta nie gra roli admin czy administrator nie ma żadnych przywilejów na koncie bo jeszcze nie napisałem ;]

Wystarczy ze podczas rejestracji mój login wygląda tak:



Czyli coś w stylu ( tylko tutaj jest pewnie za mało spacji)



Jak poprawić? Jeśli login w bazie to char(40) to sprawdzaj czy przesłany login ma 40 znaków lub mniej. Jeśli nie, wyrzucaj błąd, że jest niepoprawny

PS: wieczorem przetestuję pozostałe zabezpieczenia związane z sesjami, uploadowaniem grafiki itp, bo podejrzewam, że da się przemycić kod PHP.

PS2: konto sławo możesz wyrzucić zostaw mi konto admin albo zmień mu nazwę i napisz tutaj jaka jest nowa.

http://www.zpodziemia.pl/pokaz_zespol.php?...%29}%3C/span%3E

ok dzięki. już chyba mam nawet pomysł jak to naprawić. jak coś to załóż sobie konto: http://www.zpodziemia.pl/rejestracja.php wystarczy, że wpiszesz swój login i pass. 3 sek. i popatrz bo na pewno jest masa błędów. dzięki!




jak wam sie taki link generuje?

ja mam taki http://www.zpodziemia.pl/pokaz_zespol.php?grupa=Galeria

mi takie cos sie nie robi? od czego to zalezy? od przegladarki?

za pomocą pasku adresu trzeba specjalny kod wlepić i wyskakują takie rzeczy np

[PHP] pobierz, plaintext 
<script>alert(2)</script>
[PHP] pobierz, plaintext 

ok już się nie da założyć konta sławo ;]


ehhh ale ktoś kombinuje :D nie da się nie da :D:D heheh

Teraz ja kombinuje , chociaz na tym sie nie znam za bardzo , da się

/ zaraz edytne

Wystarczy sie zarejestrowac na byle jaki nick , a pozniej w pasku adresu zmienic na sławek i gotowe

http://www.zpodziemia.pl/pokaz_profil.php?user=S%B3awo+++

/edit , a jednak sie nie da , nie zauwazylem , ze to sam profil jest
/edit wyszukiwarka na xss podatna

a słuchajcie Panowie...

czy np. z tego adresu: http://www.zpodziemia.pl/pobierz_album.php?id=97

da się wykraść adres pliku? tzn. np. www.zpodziemia.pl/tajny_katalog/albumy/album.rar?

http://www.zpodziemia.pl/albumy/jesiol_samwidzisz.rar

#Zarejestrowałem się jako /

ehhh :/ wlasnie chodzi mi o to zeby nie wychodzily mi takie linki bezposrednie do sieci :/ zeby dalo sie tylko z tego adresu ktory podalem wczesniej....



ale dopiero po zalogowaniu mozna wykrasc taki link tak? jako gosc nie mozna?

A tak w ogóle to kod html jest bardzo słaby. Bardzo niski poziom prezentujesz uzywając center, tabelek etc. Nawet parametrów nie umieszczasz w cudzysłowach.
PS: Kolejna dziura
Podatność na Blind SQL Injection - http://www.zpodziemia.pl/albumy.php?wedlug=(SELECT%20rok)

Taaa wystarczy wpisac http://www.zpodziemia.pl/albumy/ i bez logowania moge sciagac co chce.
Rozwiazanie, chyba najprostrze to wrzuc do tego katalogu pusty index.html, albo pobaw sie w .htaccess

Najpierw zrób miniaturki bo to ile czasu się ładuje ta strona to jest rzeźnia.

Przez te pliki można wrzucić złośliwy plik na serwer

/ Dodaj_foto_bd_raport.php
/ Dodaj_foto_crew_raport.php
/ Pokaz_foto.php
/ Pokaz_foto_bd.php
/ Pokaz_galerie.php
/ Pokaz_galerie_crew.php
/ Pokaz_graffiti.php

Popraw wgrywanie awatarów, bo w chwili obecnej moge sobie wgrac przez Live HTTP headersa dowolny plik php czy inny.

http://www.zpodziemia.pl/avatar/kodzik.php

Ktoś wgra Ci shella i masz po plikach.

http://www.zpodziemia.pl/pokaz_profil.php?user=Krzysztof_kf

Nadal sie da ;p

http://www.zpodziemia.pl/pokaz_zespol.php?grupa=Eryko
1)Dodałem jako niezalogowany.
2)Zobacz województwo.
3)Rok założenia: 2011.

Rowniez pozdrawiam

@Topic, nie wiem, czy ty ta strone skladales, z roznych, gotowych skryptow, czy sam to pisales, ale jesli sam to jeszcze pol biedy - bo chociaz znasz kod i latwiej ci bedzie wstawic odpowiednie zabezpieczenia, jesli nie to proponuje zaczac od poczatku - moim zdaniem bedzie szybciej
Musisz pokoleji latac wszystko, co moze powodowac problemy.
Jest to trudne, bo trzeba przewidziec kazdy mozliwy sposob, w jaki uzytkownik (swiadomie lub nie) moze zniszczyc twoja prace.
Na szczescie masz to forum i specjalistow, ktorzy znaja sie (jak widac) dobrze na tych sprawach.
Duzo pracy cie czeka - powodzenia.

PS. Nie naduzywaj blinka - nie wiem jak innych, ale mnie te migotajki draznia

Jak narazie to starczy jak zrobi zwykle zabezpieczenia za pomoca ifa zeby nie zalogowaniu , nie mogli miec dostepu dla zalogowanych stron , oraz zwykle proste funkcje zabezpieczajace przed sql injection, wiecej sprawdzania przy rejestracji np. token czy cos.

ejjj no chłopaki!! teraz to już kurwa przegieliscie... mozecie sprawdzac wszystko ale nie robic syf.. bo tu ludzie w chodza ;/ ehhh fajnie ze sie tak znacie ze potraficie nadymic ale nie robcie mi trzody tylko powiedzcie co jest nie tak... bo na tym to polega

Do puki się nie wejdzie i nie wpisze niczego to my nic nie wiemy, a jak już coś dodamy to usunąć czasem nie możemy.

Ponadto uwierz, że oprócz 100 miłych pomagających kolegów to i z 1000 znajdzie się czekających na pokazanie dziury by mą wykorzystać i coś namieszać...

Migotanie wnerwia i to MOCNO!

Dokladnie, kojarzy mi sie to ze spamem!
Blinka mozna uzyc, ale to raz i to w wyjatkowych okolicznosciach, jesli chcemy zwrocic na cos waznego uwage.

@Topic
Sprawdzaj dane z rejestracji i logowania preg_match'em.
Dla loginu wystarczy taki match: /[A-z0-9_-]{min_ilosc_znakow, max_ilosc_znakow}/
Ten match powoduje, ze w loginie moga byc Duze i male litery, cyfry i znaki "_" , "-", poza tym ilosc znakow od 6min do 40 max.
Np.

[PHP] pobierz, plaintext 
if(preg_match("/[A-z0-9_-]{6,40}/", $_POST['login']))
{
// tutaj kod jesli login jest prawidlowy
// przy zapisywaniu danych i przy ich sprawdzaniu uzywaj:
// htmlspecialchars(), stripslashes(), trim() - to w duzym stopniu cie zabezpieczy przed niechcianymi danymi. 
}
else
{
//jakis komunikat ze zly login
}
[PHP] pobierz, plaintext 

Powinno byc ok, a jak nie to niech ktos mnie poprawi - regex'a dopiero sie ucze, ale to akurat podstawa

EDIT:
Zreszta wystarczy wejsc na: http://pl.php.net/manual/en/function.preg-match.php i tam masz duzo przykladow i match'ow, do roznych rzeczy, np e-maila, strony www itp.

Popieram

Ja staram się testować aplikacje w jak najbardziej niedestrukcyjny sposób(te marque to moim zdaniem przegięcie ) lecz licz się z tym, że takie projekty albo się wydaje z naprawdę małą ilością dziur, albo na serwerze produkcyjnym.

dobra... no sumie musicie cos popsuc zeby sprawdzic. wiec tak. najpierw powiedzcie mi co zepsuliscie i w jaki sposob. czy mieliscie mozliwosc i czy zmieniliscie kod php? w jaki sposob zmieniacie mi dane w bazie danych? i czy zmieniliscie cos w bazie jezeli chodzi o hasla czy dane uzytkownikow? (bo to wazne) bo np. ja nie moge sie zalogowac ;/ widze ze po prostu powklejaliscie kod php i html i to dziala... pierwsze co bede musial to uusunac i zrobic tak zeby taki kod nie dzial wpisany np. w formualrzu lub nie dalo sie go dodac a po drugie musze zrobic cos z rejestracja...

i tam widzialem, ze na niektorych podstronach ktos dodal komentarz bez zalogowania pomimo ze pole dodaj komentarz bylo wylaczone... dodany komentarz 'zaloguj sie' jak ktos to zrobil?


i najbardziej mnie boli ze zmieniacie mi dane w bazie... chyba nie macie hasla do bazy? tego raczej nie da sie wykrasc?

bo to ze wstawiacie kod php czy html to raczej nie jest szkodliwe a upierdliwe bo musze kasowac badz wgrac kopie bazy... martwi mnie to ze znacie strukture tabel w bazie :/ ale musicie mi napisac jak to zrobiliscie.. nie macie wyjscia bo inaczej nie poprawie nic... ;/;/;/

wiecie w ktorym pliku jest haslo? i czy da sie to wygrasc w jakis sposob? np. przez wrzucenie jakiegos pliku na serwer?

jesli da sie wrzucic plik php, badz nawet w innym jezyku, to wszystko da sie wykrasc, nawet sam kod php, a co za tym idzie - hasla do bazy danych etc.
Chocby tak.
1. wrzucam plik php i pozniej go odpalam na twoim serwerze
2. w pliku tym pobieram cala strukture plikow na twoim serwerze
3. otwieram np. plik config.php funkcja fopen
4. pobieram dane i wysylam na maila, albo na swoj serwer.

Albo poprostu kopiuje wszystkie pliki, metody sa rozne, ale jak pozwalasz na wrzucenie pliku innego niz pliki multimedialne, lub rar/zip, to juz masz problem.
Jest jeszcze jeden problem, temat jest juz od kilku dni i wiele juz wskazowek dostales, a do dzis nic w tym kierunku nie zrobiles, wszystkie bledy ktore zostaly ci wytkniete nadal sa.
Takze wez sie do roboty, bo ten komunikat na Twojej stronie tylko zacheca hakierow do psikusow

Ja bym na twoim miejscu poblokowal polowe opcji , bo np. ktos ci moze wstrzyknac zlosliwy kod , i pozniej wes to znajdz , druga opcja ->jak masz gdzies na stronie upload albo cos , to shell poleci i po twoim serwisie.

Takie pola da się odblokować za pomocą wtyczki do Firefoxa. Zawsze mozna też skopiować formularz i odpalic przerobiony z localhosta. Zasada jest prosta - nie ufaj ŻADNYM danym które przychodzą przez $_POST, $_GET itp.

Moje 3 grosze to masz spora luke w XSS : przy edytowaniu profilu przykład :

http://www.zpodziemia.pl/pokaz_profil.php?user=ziom

Zostaniesz odrazu przekierowany na http://www.google.pl, pamietaj zeby wszystko filtorwać i sprawdzać jak mówi SHiP przy uzyciu 2 prostych funkcji : mysql_real_escape_string i addslashes ale nigdy nie razem czyli wyswietlanie na stronie addslashes na XSS oraz mysql_real_escape_string jak bedziesz dodawał do bazy.

Wyłącz wyświetlanie błędów : http://www.zpodziemia.pl/pobierz_album.php?id=93

Pozdrawiam

ale jak wgrywam inny plik niz php przez formualrz to pisze ze wybrany plik nie jest plikiem jpg. bo wlasnie wgralem jakis plik php ? wiec jak wrzuciliscie te pliki? jak w ogole pozmienialiscie mi dane w bazie jak mam to zabezpieczyc?

Na samym początku potrzebujemy plik php dzięki któremu po zuploadowaniu zdobędziemy kontrolę nad plikami. Wchodzimy np na stronę [podam na pw jesli bedziesz chcial] i pobieramy. Plik otwieramy np. notatnikiem i zapisujemy jako 'wszystkie pliki' z nazwą 's.jpg'. Teraz mamy niby zdjęcie, ale w 'środku' nadal jest kod php. ;p

Otwieramy firefoxa i sciagamy dodatek https://addons.mozilla.org/pl/firefox/addon/3829/

Logujemy się i wchodzimy w zakładkę 'moje konto'. http://www.zpodziemia.pl/moje_konto.php
Na dole mamy mozliwosc wgrywania avatarow. Dozwolone rozszerzenie to jpg, jeśli będziemy chcieli wgrać zwykły plik php to skrypt wywali błąd.

W ff klikamy 'Narzędzia -> Live Http headers'. Otworzy się nowe okienko, przechodzimy na zakładkę z naszym uploadem, wybieramy nasz wcześniej zapisany skrypt 's.jpg' i klikamy 'zmień awatar', awatar się zuploadowal. Teraz klikamy na nasze okienko z Live Http headersem i patrzymy co się pojawiło.

Szukamy tej linijki jak na screenie i klikamy 'Replay'



W nowo wyświetlonym oknie widzimy dwa duże pola, w tym górnym na samym dole kasujemy ostatnią linijkę



W tym nizej zmieniamy rozszerzenie

na

i klikamy Replay.

Nasz Shell został załadowany, klikamy PPM na miejsce gdzie miał wyświetlić się awatar i kopiujemy link do niego. Jego ścieżka to teraz

Wchodzimy i robimy co nam się podoba.

haslo do shella i login masz u siebie na ftp http://www.zpodziemia.pl/avatar/db40546432...50720101124.php sprawdź co możesz zrobić.. po przejrzeniu pliku z hasłem do db możesz tez wejść bezpośrednio do bazy.


Jak zabezpieczyć? Np tak http://mijagi.vot.pl/index.php/2009/08/bez...-uploadu-w-php/

Chyba dość jasno opisałem, gdybyś czegoś nie zrozumiał to pisz.

Nasz Shell został załadowany, klikamy PPM na miejsce gdzie miał wyświetlić się awatar i kopiujemy link do niego. Jego ścieżka to teraz
Cytat
http://www.zpodziemia.pl/avatar/db40546432...50720101124.php


wyslij mi ten plik co wgrywales na serwer na poczte, bo juz skumalem ze ktos mi cos miesza i go szybko wywalilem: poczta@zpodziemia.pl


a kto mi zmienial rekordy w bazie danyc i jak?

Wysłałem prywatna wiadomość na forum, bo nie mam teraz dostępu do swojej poczty.

Co do tej bazy.. z wgraniem shella problemów nie ma, bo skrypt nie jest zabezpieczony, wiec potem wystarczy podejrzeć sobie plik odpowiedzialny za łączenie się z baza i dane z niego wklepać w phpmyadmina.

Ludzie byście mu nie psuli chłopak się trochę namęczył Pawel_W edytuj swojego posta bo mu szlak trafi bazę .


edit THX

witam ponownie po dluzszej przerwie. nie mialem zbytnio czasu zeby poprawiac kod.
chcialbym aby teraz ktos sprobowal mi wrzucic jakis zlosliwy plik, shella jakiegos czy cos...

dodajac avatar:

http://www.zpodziemia.pl/moje_konto.php


login: test hasło: test


tylko nie robcie dymu... licze na Wasza uczciwosc i lojalnosc.