Web saugumo spragos

Sveiki.

Taigi pradėjau domėtis web saugumu. Domėjausi apie OWASP pateiktą informacija ir iškilo keletas klausimų apie testavimą ir nulaužinėjimą.

Situacija paprasta. Praskenavau savo puslapį ir radau keletą saugumo spragų. Norėjau pasidomėti kaip konkrečiai būtų galima išnaudoti šias spragas. Kur ir kaip suformuluoti sql injekcija, kad išgauti ar pakeisti duomenis.

Įmesiu keletą foto. Gal pasidalinsite žiniomis, šiek tiek papasakosite apie nulaužinėjimo galimybes mano puslapyje.

Duomenų bazėje tik test duomenys, bet prašau nesugadinti jų. Svetainės adresas- Nuotraukose.

Filtruok, viska filtruok ir dar karta filtruok.

(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT(CHAR(95), CHAR(33),

CHAR(64), CHAR(52), CHAR(100), CHAR(105), CHAR(108), CHAR(101), CHAR(109), CHAR(109), CHAR(97), 0x3a,

FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)

PDO apsaugo nuo sql injekciju?

Nesupratot klausimo. Man reikia suzinoti kaip nulausti, o ne kaip apsisaugoti :D

Nesupratot klausimo. Man reikia suzinoti kaip nulausti, o ne kaip apsisaugoti :D

Informacijos, kaip nulaužti, šiame forume tu nerasi. Ieškok informacijos google, arba tam skirtuose forumuose (o geriausia apskritai pamiršk tai). Priešingu atveju tu, ir tie, kas čia pasireikš gausite įspėjimus.

Informacijos, kaip nulaužti, šiame forume tu nerasi. Ieškok informacijos google, arba tam skirtuose forumuose (o geriausia apskritai pamiršk tai). Priešingu atveju tu, ir tie, kas čia pasireikš gausite įspėjimus.

Sveikas Mykolai, paskaičiau taisykles, deje nera taisykles trugdančios testavimo tikslais, prašyti kitų vartotojojų programinio kodo. Tikslas aišku, rasti svetainėje spraga ir išsiaiškinti galimą žalą. (akademinis uždavinys paskaitoms tikrai negali būti vertinamas kaip nusižengimas). Ačiū, jei klystu pataisyk.

Afex, juos mažiausiai domina tos taisyklės. Svarbu parodyt kas čia vadas. Paprastas pavyzdys - aš. Turiu įspėjimą ir net neįsivaizduoju už ką :) Kažkas ten apie įžeidinėjimus, bet ką įžeidžiau ir ką rašiau, nerasi nė su žiburiu. Taigi anyway, geriau neklausinėk, nes čia rimtų "verslininkų" forumas. (:

P.S.

Arba žinutė bus ištrinta, arba gausiu +1 įspėjimą. Kas yra kritika ne kiekvienas dar supranta (:

Sorry už oofftopic, nesusilaikiau neparašęs

Sveikas Mykolai, paskaičiau taisykles, deje nera taisykles trugdančios testavimo tikslais, prašyti kitų vartotojojų programinio kodo. Tikslas aišku, rasti svetainėje spraga ir išsiaiškinti galimą žalą. (akademinis uždavinys paskaitoms tikrai negali būti vertinamas kaip nusižengimas). Ačiū, jei klystu pataisyk.

Aš dar kartą pasikartosiu: informacijos, kaip nulaužti svetainę šiame klausti negalima. Tau reikia taisyklės, prašau:

Draudžiamas bet koks abejotiną legalumą pagal Lietuvos Respublikos įstatymus turinčių prekių (narkotinių ir panašaus poveikio medžiagų, ginklų, petardų, sprogmenų ir kt.) ir paslaugų pardavinėjimas, pirkimas ir reklamavimas. Forumo administracija nediskutuos, ar prekė ar paslauga yra legali, ar ne, – jei prekė kelia abejonių, vadinasi, forume ji yra nepageidaujama.

Afex, juos mažiausiai domina tos taisyklės. Svarbu parodyt kas čia vadas. Paprastas pavyzdys - aš. Turiu įspėjimą ir net neįsivaizduoju už ką :) Kažkas ten apie įžeidinėjimus, bet ką įžeidžiau ir ką rašiau, nerasi nė su žiburiu. Taigi anyway, geriau neklausinėk, nes čia rimtų "verslininkų" forumas. (:

 

P.S.

 

Arba žinutė bus ištrinta, arba gausiu +1 įspėjimą. Kas yra kritika ne kiekvienas dar supranta (:

Sorry už oofftopic, nesusilaikiau neparašęs

Na vaikų smėlio dėžėje turi būti vadas, nes paskui vaikučiai pradeda šūdukais mėtytis.

P.S.

Sorry už offtopic'ą nesusilaikiau neparašęs.

Įsižeidė mūsų vadas :} O dėl savo tų šūdukų ir lankytojus vadinti vaikais smėlio dėžėje, tai gal truputį easy "viršininke"?

Dėl taisyklės:

Draudžiamas bet koks abejotiną legalumą pagal Lietuvos Respublikos įstatymus turinčių PREKIŲ (narkotinių ir panašaus poveikio medžiagų, ginklų, petardų, sprogmenų ir kt.) ir PASLAUGŲ pardavinėjimas, pirkimas ir reklamavimas. Forumo administracija nediskutuos, ar PREKĖ ar PASLAUGA yra legali, ar ne, – jei PREKĖ kelia abejonių, vadinasi, forume ji yra nepageidaujama.

Čia kaip suprantu pagal mūsų VADĄ Mykolą:

Prekė, paslauga yra tas pats kas konsultacija ar pagalba. Ok, tiek to. Kaip pavadinsi, taip nepagadinsi. Tai pagal jus VADE Mykolai, mes galim tik apie bitutes ir gėlytes šnekėti forume? Tai kas aktualu ne vienam forumo dalyviui būtų - saugumas, pas jus VADE Mykolai yra nepageidaujamas turinys?

Čia viską gerai supratau?

Įkišiu savo trigrašį – nemanau, kad kažkas blogo yra savaime, pvz., demonstravime, kaip veikia SQL injekcija. Jei autorius, kaip pats sako, nori atakuoti (pentestinti) savo svetainę, tai žinoma, kad jam reikėtų išmokti ir pačią ataką. Tiesiog dvi to paties medalio pusės. Žr. Kerniaus „geras programuotojas turi būti ir geras hakeris“.

Aišku, tame ir bėda: jei ims ir panaudos prieš svetimą svetainę visiškai tą patį dalyką, tai jau taps nelegalu. Lygiai, kaip išsilaikęs teises gali važinėti tvarkingai, o gali važinėti per žmones. Lygiai, kaip turėdamas medicininę įrangą, gali žmones gydyti, gali žudyti.

Mano žodis čia vargiai ką reiškia, bet, tarkim, jei forume kada atsirastų detalus tutorialas apie SQL injekciją, neįsivaizduoju jo be bent jau minimalaus atakos parodymo.

--

PDO apsaugo nuo sql injekciju?

PDO magiškai neapsaugo: apsaugos tik tada, kai naudosi bindindamas parametrus (visur ir visada).

--

Autoriui: internete neabejotinai rasi informacijos apie SQL injekciją. Aišku, kai kada sunku atskirti normalius šaltinius nuo skriptvaikių tutorialų „how to haxx sites omg“.

Bet dabartinėj situacijoj, nelabai žinau, kodėl tu turi nemokėti išnaudoti spragos. Juk visą kodą turi, maždaug turi žinoti, kame bėda: tiesiog imi savo SQL užklausą, imi tą vartotojo kišamą dalį ir galvoji, kaip suformavus viską, kad išeitų nebe tokia užklausa, kokia turėtų būti, o naudingesnė atakeriui :)

Ačiū Arvydai už etišką požiūrį į vartotojus.

Kaip panaudoti sql injekciją radau, bet informacijos ištraukti nepavyko. tačiau visgi noriu sužinoti ar įmanoma ją panaudoti ištraukiant duomenis, šiuo konkrečiu atveju. Kodų nerašykite, galite pabandyti ištraukti iš mano svetainės informaciją ir pateikti ją poste. Rezultatai negali buti traktuojami kaip LR įstatymus pažeidžiantis dalykas. Kitas dalykas nera tokio dalyko kaip kenkti sau. Bet koks savanoris veiksmas kuris bus naudojamas prieš savę, arba nebus naudojamas prieš kitus asmenis nepažeidžia jokio įstatymo. Ačiū.

P.S. Neskatinu ir nedėsiu jokių injekcijų forume, tik pastebėjimas- jas publikuoti, net ir moksliniuose šaltiniuose nera draudžiama, todel manau tokia skiltis kaip svetainių saugumas tikrai susilauktų dėmesio šiame forume.

Autoriui patarčiau filtruoti visus kintamuosius, bei atsisakyti .php plėtinių savo puslapyje (kadangi dauguma automatizuotu SQLInjection'u toolsu nebeveiks, bei mažesnė rizika, kad kažkam atsiras idėja tikrint toki puslapi -> http://stackoverflow...-using-htaccess )

Bei sistemingai tvarkyti visas klaidas, kurias nurodo ivairus scanneriai, jie tam is sukurti.

Info apie tavo DB:

DB: flightdb2
Tables:
ads
airlines
airports
airports_dafif
airports_gad
airports_oa
countries
countries_oa
fb_users
facebook
flight_all
flights
locales
photos
planes
routes
tripit_tokens
trips
users
votes

Viskas parodyta tik pazintiniais tikslais, nepadarant jokios zalos puslapiui ir savininko prasymu. Jeigu reikia pagalbos kreipkis, pakonsultuosiu ka daryti ir ko vengti.

Galiu pasakyti jog tragiškas saugumas tam puslapyje, tiksliau nėra saugumo.

Administratoriui patarčiau išjungti tą puslapi kuo greičiau.

Nuotrauka is web-shello:

Įsižeidė mūsų vadas :} O dėl savo tų šūdukų ir lankytojus vadinti vaikais smėlio dėžėje, tai gal truputį easy "viršininke"?

 

Dėl taisyklės:

 

Draudžiamas bet koks abejotiną legalumą pagal Lietuvos Respublikos įstatymus turinčių PREKIŲ (narkotinių ir panašaus poveikio medžiagų, ginklų, petardų, sprogmenų ir kt.) ir PASLAUGŲ pardavinėjimas, pirkimas ir reklamavimas. Forumo administracija nediskutuos, ar PREKĖ ar PASLAUGA yra legali, ar ne, – jei PREKĖ kelia abejonių, vadinasi, forume ji yra nepageidaujama.

 

Čia kaip suprantu pagal mūsų VADĄ Mykolą:

 

Prekė, paslauga yra tas pats kas konsultacija ar pagalba. Ok, tiek to. Kaip pavadinsi, taip nepagadinsi. Tai pagal jus VADE Mykolai, mes galim tik apie bitutes ir gėlytes šnekėti forume? Tai kas aktualu ne vienam forumo dalyviui būtų - saugumas, pas jus VADE Mykolai yra nepageidaujamas turinys?

 

Čia viską gerai supratau?

Na įsižeidei matomai tu, nes perėjai prie asmeniškumų :) Kiekvieną taisyklę galima perfrazuoti taip, kaip kiekvienam būtų naudinga. O dėl mano palyginimo, tai jis nėra skirtas visiems forumo nariams. Jis skirtas tokiems "įsižeidusiems tiesos ieškotojams" kaip tu. Tu tikrai ne pirmas, ir net ne penktas, matomai ir nepaskutinis. Tikiuosi viską paaiškinau, ir daugiau klausimų nekils, nes aš daugiau nebegrįšiu prie šios temos.

Ačiū Arvydai už etišką požiūrį į vartotojus.

 

Kaip panaudoti sql injekciją radau, bet informacijos ištraukti nepavyko. tačiau visgi noriu sužinoti ar įmanoma ją panaudoti ištraukiant duomenis, šiuo konkrečiu atveju. Kodų nerašykite, galite pabandyti ištraukti iš mano svetainės informaciją ir pateikti ją poste. Rezultatai negali buti traktuojami kaip LR įstatymus pažeidžiantis dalykas. Kitas dalykas nera tokio dalyko kaip kenkti sau. Bet koks savanoris veiksmas kuris bus naudojamas prieš savę, arba nebus naudojamas prieš kitus asmenis nepažeidžia jokio įstatymo. Ačiū.

 

P.S. Neskatinu ir nedėsiu jokių injekcijų forume, tik pastebėjimas- jas publikuoti, net ir moksliniuose šaltiniuose nera draudžiama, todel manau tokia skiltis kaip svetainių saugumas tikrai susilauktų dėmesio šiame forume.

Aš tą ir turėjau omenyje, jog diskutuoti apie SQL injekcijas ir panašius būdus forume niekas nedraudžia. Tačiau step-by-step manualų forume nereikia.

kažkada vienas skype pokalbių dalyvis pasakė, kad turėčiau patestuoti savo kodą, ar nepalikau jame klaidų. Na viskas veikė, ką dar testuoti? Tuomet "patestavo" jis. Mysql prisidėjo tūkstančiai naujų įrašų. Reziume reikia ieškoti ne kaip atakuoti, o sugalvoti kaip atakuoti. Juk tu pats kuri sistemą, tu ir turėtum žinoti kaip ją įveikti. Jeigu ilgai galvoji ir nesugalvoji, tikriausiai ne taip jau ir lengva?

bei atsisakyti .php plėtinių savo puslapyje (kadangi dauguma automatizuotu SQLInjection'u toolsu nebeveiks, bei mažesnė rizika, kad kažkam atsiras idėja tikrint toki puslapi

Kodėl? Security through obscurity...

$ curl -I paslaugugidas.lt
HTTP/1.1 200 OK
Date: Thu, 31 Oct 2013 20:59:34 GMT
Server: Apache/2.2.14 (Ubuntu)
X-Powered-By: PHP/5.3.2-1ubuntu4.18
<...>

Nu tikrai nepagalvočiau, kad PHP ;) Kas norės, nurodys ir rankiniu būdu tą aplikacijos tipą. Neįsivaizduoju, kas kurtų taip durnai skanerius, kad va nuimi .php ir griūna, šakės, nieks nebevyksta :)

P.S. Neskatinu ir nedėsiu jokių injekcijų forume, tik pastebėjimas- jas publikuoti, net ir moksliniuose šaltiniuose nera draudžiama, todel manau tokia skiltis kaip svetainių saugumas tikrai susilauktų dėmesio šiame forume.

Su konkrečių tinklalapių spragų publikavimu, nors ir tam neskirtas uždarbis.lt, bet bet kokiu atveju yra normali, priimta procedūra: įspėji svetainę, pasitaiso, kai jau viskas ok, tada rašai savo bloge, ar dar kur :).

#########. Ieškais tutorialo, testuoji.

Tikiuos nepriimsit kaip už reklamą, nes tai visiškai kito pobūdžio forumas

Kodėl? Security through obscurity...

$ curl -I paslaugugidas.lt
HTTP/1.1 200 OK
Date: Thu, 31 Oct 2013 20:59:34 GMT
Server: Apache/2.2.14 (Ubuntu)
X-Powered-By: PHP/5.3.2-1ubuntu4.18
<...>

Nu tikrai nepagalvočiau, kad PHP ;) Kas norės, nurodys ir rankiniu būdu tą aplikacijos tipą. Neįsivaizduoju, kas kurtų taip durnai skanerius, kad va nuimi .php ir griūna, šakės, nieks nebevyksta :)

 

 

Su konkrečių tinklalapių spragų publikavimu, nors ir tam neskirtas uždarbis.lt, bet bet kokiu atveju yra normali, priimta procedūra: įspėji svetainę, pasitaiso, kai jau viskas ok, tada rašai savo bloge, ar dar kur :).

Nezinau kiek tu puslapiu tikrinai ir nulauzinejai, bet .php, .asp ir kitu tipu pletiniai sukelia siektiek daugiau problemu kai jie yra, negu ju isviso nera ir niekas ju nemato bei nezino.

1]. Man uzejus į puslapį, pirmiausia pasiziuriu kokie kintamieji naudojami, 75% jog puslapis bus pazeidziamas sql injekcijos budu (Jeigu tai specialus CMS sukurtas kazkokios firmos)

2]. Google indeksavimas.. Jau 2009 metais sklande gandai, kad rusai masiskai naudojo sql pazeidziamumus t.y., pastatydavo automatizuotus botus, kurie is list'o, surinkdavo puslapius ir automatiskai lauzdavo juos, bei taip sugebejo gauti labai daug naudingos informacijos. Zinoma tu dork listu ir dabar pilna internete: Example

3]. Galbut pletiniu panaikinimas neapsaugos nuo isilauzimo, bet garantuotai sumazes bandymu puslapi nulauzti, nes dabar kiekvienas skriptvaikis gali pasiimti automatizuota sql injektoriu ir islupti visa info per 5 min.

Su konkrečių tinklalapių spragų publikavimu, nors ir tam neskirtas uždarbis.lt, bet bet kokiu atveju yra normali, priimta procedūra: įspėji svetainę, pasitaiso, kai jau viskas ok, tada rašai savo bloge, ar dar kur :).

Deje deje, pamenu atveji kai LRT zmogu padave į teisma uz toki dalyka... Bet daugumoje atveju galima dar ir dovanu uz tai gaut :)

Nezinau kiek tu puslapiu tikrinai ir nulauzinejai, bet .php, .asp ir kitu tipu pletiniai sukelia siektiek daugiau problemu kai jie yra, negu ju isviso nera ir niekas ju nemato bei nezino.

1]. Man uzejus į puslapį, pirmiausia pasiziuriu kokie kintamieji naudojami, 75% jog puslapis bus pazeidziamas sql injekcijos budu (Jeigu tai specialus CMS sukurtas kazkokios firmos)

2]. Google indeksavimas.. Jau 2009 metais sklande gandai, kad rusai masiskai naudojo sql pazeidziamumus t.y., pastatydavo automatizuotus botus, kurie is list'o, surinkdavo puslapius ir automatiskai lauzdavo juos, bei taip sugebejo gauti labai daug naudingos informacijos. Zinoma tu dork listu ir dabar pilna internete: Example

3]. Galbut pletiniu panaikinimas neapsaugos nuo isilauzimo, bet garantuotai sumazes bandymu puslapi nulauzti, nes dabar kiekvienas skriptvaikis gali pasiimti automatizuota sql injektoriu ir islupti visa info per 5 min.

Sakai teisingai – sumažins surandamumą pagal dorkus, ir t.t. Bet vis tiek nėra taip, kad jau ten vos ne nieks nepaims... :) Aišku, apskritai plėtiniai šiais laikais nereikalingi puslapiuose.

http://www.w3.org/Provider/Style/URI.html

Deje deje, pamenu atveji kai LRT zmogu padave į teisma uz toki dalyka... Bet daugumoje atveju galima dar ir dovanu uz tai gaut :)

Tai dėl ko ir sakau, kad kai viskas sutarus ir t.t., tai yra normalu. Jei neleidžia – tai neleidžia. Normalesnės kompanijos (Google, Facebook, Twitter, ...) už rastą spragą atlygina, ištaiso, o tada nedraudžia ir publikuoti.

Saugumo padidinimui reikia visiškai atjungti klaidų rodymą (rašyti ir testuoti kodą geriau savo kompiuteryje o į serverį kelti jau patikrinta kodą), tai sumažins tikimybe, kad jaunas „hakeris“ suras SQL injection‘ą (ir ne tik).

Ir būtinai filtruoti (htmlspecialchars, stripcslashes ir pan.) visus duomenys gaunamus iš lankytojo. Taip pat nepamiršti, kad reikia filtruoti ir duomenys kurie ateina iš select ir panašaus tipo laukų. Dažnas atvejis, kad programuotojai patikrina tik tuos kintamuosius, kurios suveda žmogus, pamiršdami, kad duomenys iš select‘o irgi gali būti modifikuojami.

Ir būtinai filtruoti (htmlspecialchars, stripcslashes ir pan.) visus duomenys gaunamus iš lankytojo.

Nesąmonėlė biškį, dėl kelių priežasčių. Pirma: kalbam apie SQL injekciją, nuo jos saugotis reikia prepared statements, viskas. Nors gal ir neturėjai omeny, kad htmlspecialchars() būtent šitai spragai apsaugoti.

Kitas dalykas - HTML escapinimas ir panašūs veiksmai turėtų būti daromi atvaizdavimo metu. Į DB turėtų būti rašomi tikri duomenys, o ne išescapinti vienam specifiniam pateikimo būdui (pvz. HTML). O jei norėsi daryti JSON API, tai ką, ištraukęs iš DB viską išescapinsi atgal? :)

Aš parašiau bendrus patarimus:)

O kaip saugoti ir ką "eskaipinti" jau turi spręsti pats programuotojas.