Hi, chciałbym poznać Wasze zdanie na poniższe pytanie:

Czy aplikacja, która nie modyfikuje danych wejściowych / wyjściowych (a co za tym idzie jest podatna na SQL Injection) może być bezpieczna dla danych w niej zawartych?

:-)

i trochę zabawy

www.beldzio.com/calypso/
www.beldzio.com/calypso/index.txt

Zupełny brak modyfikacji danych wejściowych / wyjściowych. Spróbuj się zalogować.

1. Konto test się nie liczy - zostało ono założone by pokazać, że można się zalogować test :: test

2. Żeby złamać Calypso należy się do niego zalogować lub napisać na czym polega zabezpieczenie.

Info proszę na PW żeby nie psuć zabawy innym.

No skoro można sie wlamac na twoja strone, to raczej dane nie sa bezpieczne.

Przeciez to sie lamie podstawowym kodem SQL INjection. Czemu ten test/zabawa ma sluzyc?

Nie filtrujac danych wejsciowych zawsze otwierasz drzwi potencjalnym wlamywaczom, wiec to logiczne, ze nie jest bezpieczna dla przechowywanych danych.
SQL Injection - na PW.

Hmmm a mi coś dziwnie (nie)działa.
Po odpowiednim stringu w loginie mam ciasteczka ustawione na John i hasło w md5 ale jak klikam sprawdzenie to mi wyskakuje, że jednak się nie zalogowałem... Ręcznie sprawdzając widzę, że ciasteczka są jednak prawidłowe...

Dodam że jestem na linux i ostatnio też miałem jakieś problemy z odczytywaniem ciasteczek przy jednym ze swoich projektów, więc może to jest przyczyna?

Czy może po prostu jestem jakiś nieudolny?

podeślij mi dane logowania na pw


Twój sposób nie pozwala na zalogowanie się


nie

polecam przed stwierdzeniem, że to jest lame zalogowanie się

SqlInjection na PW poszło...

Co robi plik 'calypso.php', bo na localu, jak to wyrzucę to mój sqlinjection działa nawet na potwierdzeniu, a tak to nie...

@Hacker tak jak pisałem wyżej zaloguj się na te dane i spr czy na pewno to działa. Plik calypso.php ma być odp na pytanie postawione przeze mnie w 1. poście

Pokaż jeszcze swój pliczek .htaccess głównie chodzi mi o modrewrite
Jeżeli nie ma w nim przekierowania z calypso.php i plik calypso.php zachowuje się tak samo niezależnie od tego czy jest require-owany, czy nie, to jednak zmieniasz dane wejściowe... (i/lub zamykasz połączenie do bazy )

Da sie zrobic takie zapytanie, zeby w odpowiedzi dostac "Hmmmm you hacked Calypso :-) Congratulation." (i nie mowie tutaj o zalogowaniu sie na test:test), wiec nie ma tam zadnych przekierowan ani innych sztuczek. Mi sie udalo za 2 podejsciem (dluzszym), jednak czekam na wyjasnienie co, jak i dlaczego tak sie dzieje, bo sprawa jest zastanawiajaca.

@mwojcik puściłem Ci inho na PW zrobiłem błąd w kodzie idea zabezpieczenia nadal nienaruszona ;-)

gratki

Ale...



Hash md5('test') to 098f6bcd4621d373cade4e832627b4f6, a nie e54aa2684ec70a80814a8a4f438d8a18...

A więc jak mówiłem modyfikujesz dane wejściowe

jak już pisałem nie modyfikuje

więc kod podany na www.beldzio.com/calypso/index.txt to jakaś ściema?
calypso.php zachowuje się tak samo niezależnie od tego czy jest require-owany, czy nie?

ad1. nie ściema index.txt == index.php
ad2. nie zachowuje, w końcu po coś on jest dołączony

Po sprawdzeniu nagłówków wysyłanych przez przeglądarkę podczas "sprawdzania zalogowania" dla użytkownika test oraz Mike doszedłem do wniosku, że plik calypso.php ma treść:

[PHP] pobierz, plaintext 
<?php
 
	if( $_GET['action'] == 'login-check' && $_COOKIE['login'] != 'test' ) 
	{
		die( 'Ups. You are not logged in :-( Try again.' );
	}
 
?>
[PHP] pobierz, plaintext 

Co nie zmienia faktu, że da się odczytać loginy i hash'e haseł innych użytkowników - tyle że nie chce mi się ściągać tęczowych tabel żeby to łamać.

@Kicok

plik calypso.php tak nie wygląda...
-zaloguj się na test i zobacz jaki hash zwraca zapytanie
-zrób SqlInjection i zobacz jaki hash zwróci zapytanie dla użytkownika test...

EDIT:
Hmmm... czy skrypt wykonuje zapytania w niezmienionej formie (tj. w takiej w jakiej wyświetla)? Bo zdaje mi się, że nie..

@Kciok. Zdecydownie się zgadzam. Jeżeli ten kod index.txt to nie jest ten z index.php.

@Hacker masz rację, nie zauważyłem tego wcześniej. Za to zauważyłem inną rzecz: skrypt ingeruje w wysyłane dane. Wpisz sobie w miejsce loginu: "+" i popatrz na wyświetlone zapytanie - to powinno ci nasunąć sposób myślenia.

Mi się udało zdobyć oryginalny hash hasła do konta Mike i moje wysiłki zostały nagrodzone napisem "Hmmmm you hacked Calypso :-) Congratulation."



Swoją drogą ciekawe jak to jest zrobione. Sam wymyśliłem taką teorię spiskową, że rozszerzenie mysql jest na jego serwerze wyłączone (a włączone jest mysqli albo PDO), a w pliku calypso.php znajdują się napisane w PHP funkcję mysql_connect(), mysql_query() itp.
Dzięki takiemu trickowi bełdzio mógł zastosować proste sprawdzanie składni zapytania SQL, a my myśleliśmy, że to czary ;]

@Kicok
Lol to z plusem to żadne odkrycie... wpisz w gogle w zmienną get q pomiędzy dwa wyrazy...
Po prostu urldecode zamienia...
Btw. podeślij mi na priva (żeby innym zabawy nie psuć) jak to Mikem zrobiłeś

co do "+" to zauważ że w kodzie jest :

[PHP] pobierz, plaintext 
<?php
$_POST = array_map( 'urldecode', $_POST );
?>
[PHP] pobierz, plaintext 

chyba reszty nie muszę wyjaśniać?

a ten przykładowy kodzik calypso fajny ;-D

@Hacker kod "na Majka" Ci już nic nie da :-) mały bład w kodzie był ;-) tzn linijkę trzeba było przenieść wyżej ;-) mimo to nie wpłyneło to na ideę zabezpieczenia

@Kicok gr )

Wiem na co jest zamieniany plus. Po prostu nie zauważyłem tych array_mapów w kodzie i myślałem, że jest to wynik działania calypso.php

Sama idea używania urldecode na danych wejściowych jest dla mnie niezrozumiała. Co jeśli na stronce zabezpieczonej tym sposobem będę chciał napisać "2 + 2 = 4"? Będę musiał ręcznie to kodować, żeby po odkodowaniu tekst nie stracił sensu?