Forum PHP.pl > [MySQL][PHP] SQL Injection

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [MySQL][PHP] SQL Injection

MPC User

11.06.2012, 19:05:25

Jakiś user udostępnił skrypt na pewnym forum i część użytkowników twierdzi, że jest on podatny na SQLi.

Nie znam się na php, ale chciałbym wtłoczyć ten skrypt do pewnej strony, ale nie wiem czy jest on bezpieczny.

[PHP] pobierz, plaintext 
<?php
// by Smudzas-Design
 
$host = '';
$user = '';
$pass = '';
$cena = 62; // cena pierwszego pierscionka
$czas = 7; // dlugosc pierwszego pierscionka
 
mysql_connect($host, $user, $pass);
mysql_select_db('account');
 
echo '<meta http-equiv="content-type" content="text/html; charset=utf-8" />';
 
$zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1";
$tab = mysql_fetch_assoc(mysql_query($zap));
 
if($_GET['akcja'] == 'pd'){
	if($_GET['dni'] == $czas){
		if($tab['cash'] < $cena){
			echo 'Masz zbyt mało Smoczych Monet<br>';
		}
		else{
			$data = date("Y-m-d H:i:s");
			$time = strtotime($data);  
			$czasTrwania = 3600 * 24 * $czas;  
			$nowaData = $time + $czasTrwania;
			$doKiedy = date("Y-m-d H:i:s", $nowaData);
 
			$pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'");
 
			if($pd){
				echo 'Pomyślnie kupiłeś PD';
			}
			else{
				echo 'Błąd. Spróbuj ponownie';
			}
		}
	}
	elseif($_GET['dni'] == $czas*2){
		if($tab['cash'] < $cena*2){
			echo 'Masz zbyt mało Smoczych Monet';
		}
		else{
			$data = date("Y-m-d H:i:s");
			$time = strtotime($data);  
			$czasTrwania = 3600 * 24 * $czas *2;  
			$nowaData = $time + $czasTrwania;
			$doKiedy = date("Y-m-d H:i:s", $nowaData);
 
			$pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena*2 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'");
 
			if($pd){
				echo 'Pomyślnie kupiłeś PD';
			}
			else{
				echo 'Błąd. Spróbuj ponownie';
			}
		}
	}
	elseif($_GET['dni'] == $czas*4){
		if($tab['cash'] < $cena*4){
			echo 'Masz zbyt mało Smoczych Monet';
		}
		else{
			$data = date("Y-m-d H:i:s");
			$time = strtotime($data);  
			$czasTrwania = 3600 * 24 * $czas *4;  
			$nowaData = $time + $czasTrwania;
			$doKiedy = date("Y-m-d H:i:s", $nowaData);
 
			$pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena*4 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'");
 
			if($pd){
				echo 'Pomyślnie kupiłeś PD';
			}
			else{
				echo 'Błąd. Spróbuj ponownie';
			}
		}
	}
	else{
		echo '<a href="index.php?akcja=pd&dni='.$czas.'"><h1 style="text-align:center;">'.$czas.' dni ('.$cena.' SM)</h1></a>';
		echo '<a href="index.php?akcja=pd&dni='.$czas*2 .'"><h1 style="text-align:center;">'.$czas*2 .' dni  ('.$cena*2 .' SM)</h1></a>';
		echo '<a href="index.php?akcja=pd&dni='.$czas*4 .'"><h1 style="text-align:center;">'.$czas*4 .' dni  ('.$cena*4 .' SM)</h1></a>';
	}
}
else{
	echo '<a href="index.php?akcja=pd"><h1 style="text-align:center;">Kup pierścień expa</h1></a>';
}
 
?>
[PHP] pobierz, plaintext

IProSoft

11.06.2012, 19:08:15

Zwróć uwagę na to zapytanie:

[PHP] pobierz, plaintext 
$zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1";
[PHP] pobierz, plaintext

A co jeśli potrafię spreparować $_SESSION['id'] ? Mogę wrzucić dowolny tekst, który nie zostanie wyczyszczony np mysql_escape_string

MPC User

11.06.2012, 19:13:11

[PHP] pobierz, plaintext 
$zap = "SELECT `cash` FROM `account` WHERE `id`='".(int)$_SESSION['id']."' LIMIT 1";
[PHP] pobierz, plaintext

Może być?

greycoffey

11.06.2012, 19:57:01

Cytat(IProSoft @ 11.06.2012, 20:08:15 )

Zwróć uwagę na to zapytanie:

[PHP] pobierz, plaintext 
$zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1";
[PHP] pobierz, plaintext

A co jeśli potrafię spreparować $_SESSION['id'] ? Mogę wrzucić dowolny tekst, który nie zostanie wyczyszczony np mysql_escape_string

Proszę Cię, nie pogrążaj się.
Czy ludzie naprawdę nie mają pojęcia jak działają sesje?
Spreparowanie danych to atak typu Session Poisoning - ale ten atak może wystąpić tylko wtedy, kiedy programista pisze idiotyczny kod jak:

[PHP] pobierz, plaintext 
$_SESSION[$_GET['key']]=$_GET['value'];
[PHP] pobierz, plaintext

Co do skryptu (zakładam, że $cena może być zmieniona):

[SQL] pobierz, plaintext 
UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'
[SQL] pobierz, plaintext

Zagrożeniem jest cena, zobacz co się stanie gdy damy ujemną:

Kod

mysql> insert into abc values (5);
Query OK, 1 row affected (0.00 sec)

mysql> select * from abc;
+------+
| cena |
+------+
|    5 |
+------+
1 row in set (0.00 sec)

mysql> update abc set cena=cena--5;
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0

mysql> select * from abc;
+------+
| cena |
+------+
|   10 |
+------+
1 row in set (0.00 sec)

Jeśli $czas można zmienić też, pewnie efektem niepożądanym byłby fakt, że silver_expire jest zmienione na inną wartośc niż zakładana.

Opisz dokładniej które dane są zmienne.

IProSoft

11.06.2012, 20:27:06

@UP
a skąd pewnośc, że w ten sposób nie jest Tworzone ID? Może zaufać użytkownikowi...
To pierwszy błąd jaki rzucił mi się w oczy więc go o nim informuję, więc nie rzucaj odrazu miesem...

MPC User

11.06.2012, 20:46:28

Cytat(greycoffey @ 11.06.2012, 19:57:01 )

[PHP] pobierz, plaintext 
$_SESSION[$_GET['key']]=$_GET['value'];
[PHP] pobierz, plaintext

Co do skryptu (zakładam, że $cena może być zmieniona):

[SQL] pobierz, plaintext 
UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'
[SQL] pobierz, plaintext

Zagrożeniem jest cena, zobacz co się stanie gdy damy ujemną:

Kod

Jeśli $czas można zmienić też, pewnie efektem niepożądanym byłby fakt, że silver_expire jest zmienione na inną wartośc niż zakładana.

Opisz dokładniej które dane są zmienne.

Zadne dane nie są wprowadzane przez użytkownika i nie ma on do nich dostępu. Więc jak cena może być minusowa?

Rysh

11.06.2012, 20:48:40

Cytat(MPC User @ 11.06.2012, 21:46:28 )

Zadne dane nie są wprowadzane przez użytkownika i nie ma on do nich dostępu. Więc jak cena może być minusowa?

Ja podchodzę do takiego wniosku, że dane powinny być zabezpieczone "na wszelki wypadek" przed zmianami. Czasem nam się wydaje, że czegoś użytkownik i tka nie może zmodyfikować, a przychodzi taki delikwent i to robi (świadomie lub nie). Zabezpieczenie skryptów PHP to podstawa!

MPC User

11.06.2012, 21:31:33

Jak może zmienić zmienną która jest zdeklarowana wewnątrz skryptu?

Nawet jak dla mnie to dziwne

greycoffey

12.06.2012, 15:34:08

Cytat(IProSoft @ 11.06.2012, 21:27:06 )

Co tutaj jest do ufania użytkownikowi? Zatrucie sesji jest możliwe tylko wtedy, kiedy programiasta pisze idiotyczny kod. Równie dobrze mozna powiedzieć "co *jeśli* potrafię uzyskać dostęp do serwera?".
Dane sesyjne nie są (tfu, nie powinny być) ustawiane wprost od użytkownika.

Jeśli ceny ani casu nie da się zmienić, to ten kawałek kodu jest w 100% bezpieczny.

d3ut3r

13.06.2012, 05:19:55

można poczytać ciekawe rzeczy

http://ha.xxor.se/2011/09/local-session-po...php-part-1.html

czyli generalnie i tak wszystko zależy, od konfiguracji serwera. Zatrucie sesji jest możliwe tylko gdy serwer nie jest odpowiednio skonfigurowany wówczas skrypt taki jaki przedstawił autor może sprawić problemy. Osobiście nie ufam żadnym zmiennym (to że teraz atak jest nie możliwy nie znaczy, że za 3 dni nie będzie nowej luki) tym bardziej jeżeli potrzebuje inta to zwykłe rzutowanie w zupełności wystarcza.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.