Am primit un email azi prin care am fost informat ca site-ul price.ro a fost spart.
Price.ro tine la vedere toate datele voastre personale
http://img224.imageshack.us/img224/4420/priceronu7.jpg
Versiune printabilă
Am primit un email azi prin care am fost informat ca site-ul price.ro a fost spart.
Price.ro tine la vedere toate datele voastre personale
http://img224.imageshack.us/img224/4420/priceronu7.jpg
ce inseamna sa nu stii sa pui un amarat de mysql_real_escape_string
ce e ala ?
de unde ai poza? =]]
Pune si tu mailul cu tot cu headere aici...
Poza am primit-o pe email.Nu pot sa dau datele celui care a trimis email-ul.Din cate am inteles eu au fost instiintati legat de vulnerabilitate.Si site-ul hi5[punct]ro a fost spart :D
http://img20.imageshack.us/img20/3610/tabelewj3.jpg
http://img143.imageshack.us/img143/336/adminyt2.jpg
.................................................. .............................
Sql injection in Arhivele Nationale ale Romaniei
http://img141.imageshack.us/img141/5362/contsipassintextclaradmdy1
.jpg
.................................................. ..............................
SQL Injection in Ministerul Afacerilor Externe (mae.ro)
http://img81.imageshack.us/img81/1460/schemanamepk3.jpg
http://img116.imageshack.us/img116/9...lename1qk1.jpg
Cam atat :D
KidRock - ar trebui sa dai site-ul baietilor care descopera vulnerabilitatile astea, ca doar nu e secret. Intrati aici si cititi despre ce e vorba: http://hackersblog.org/
pustiu eu am primit email nu am gasit pe gugäl :) Nu am dat adresa blog-ului din email pentru ca nu are rost sa ii fac reclama.
Se pare ca se pricep pushtanii :)
ei se pricep.. niste script kidies care au gasit pe wiki sau alte siteuri ca daca pui intr-un input field: admin';-- restul comenzilor din sql sunt ignorate..
si sunt mult mai multe feuri de a te juca cu SQL-ul si inputurile neprotejate..
sql injection nu e hacking..
si functiile strip_tags si real_escape_string din php te pot salva de la multe situatii de astea penibile..
ehh da asa e cand se fac site-uri pe capace de bere la studentii din regie(no pun intended :P)
"Niste script kiddies" sunt cei care le-au realizat. Pai daca realizezi un site si nici macar "strip_tags si real_escape_string" nu folosesti - script kiddie te numesti.
Pai daca unu' care da copy/paste afla informatii confidentiale, nici nu vreau sa ma gandesc ce ar putea face cineva care mai si stie cate ceva.
exact.. nici ca nu puteam sa zic mai bine :PCitat:
Postat în original de haos
citisem o carte despre securitatea in php si "sql injection" e 1 capitol din 14 :P
concluzia la cartea aia e ca mai bine ramai offline :))))
aoleo tu citesti? pai atunci nu e bine sa te apuci de facut siteuri. app, ce carte? :D
mai citesc ce sa-i faci :P
PHP Architects Guide to PHP Security - Marco Tabini and Associates
si mai este si
Pro PHP Security - Apress
daca le vrei pot sa ti le trimit pe mail .. dar a 2-a are 13mb :P
Funny e ca PHP-ul are by default magic_quotes_gpc on, deci sa pici la asa ceva cu PHP-ul e deja imbecilitate profunda.
Sunt Tocsixu de pe hackersblog.org , imi cer scuze ca a fost nevoie sa ... "imprumut" un user pentru a putea posta aici (nu stiu al cui e, nu imi pasa), dar administratorul seopedia a fost prea paranoic si nu a vrut sa imi faca un cont, cu motive gen:
Citat:
Nu aprob hackareala si nici atacurile si injectiile doar de dragul meseriei.
forapathy, e foarte usor sa arunci cu vorbe defaimatoare la adresa cuiva fara sa stii despre cine vorbesti asa-i?Citat:
Postat în original de forapathy
Revenind la gafele tale gen daca pui intr-un input field: admin';-- restul comenzilor din sql sunt ignorate.. sau si functiile strip_tags si real_escape_string din php te pot salva... evidentiezi intr-un mod edificator faptul ca ai citit 1-2 pagini despre SQL/PHP ca apoi sa faci pe marele coder/security researcher.
Cu -- nu scapi de fiecare data de cealalta parte a query-ului sql cum nici mysql_real_escape_string sau magic_quotes nu te protejeaza intotdeauna de SQL Injection-uri. Cea mai buna varianta e sa faci filtrari si verificari proprii, in general sa te asiguri ca inputul nu are alta forma decat cea pe care o asteptai tu.
Hai ca asta m-a facut cel putin sa zambesc la final de saptamana.Citat:
"imprumut" un user pentru a putea posta aici (nu stiu al cui e, nu imi pasa)
Vad ca mai toti il considerati pe Tocsixu si pe cei de pe acolo ca ceva raufacatori, care nu ar trebui sa aiba dreptul la replica.
Din cate am citit la ei pe blog nu fac chestiile astea cu rea intentie ci doar sa traga un semnal de alarma adminilor si webmasterilor.
Cred ca ideea lor e chiar binevenita, si chiar m-as gandi sa ii cer cateva sfaturi in privinta securitatii site-urilor pe care le am. Ganditi-va ca ei nu fac altceva(pana la proba contrarie ii cred pe cuvant) decat sa testeze si sa descopere daca un site este vulnerabil, dupa care anunta adminul sau detinatorul pentru a remedia problema inainte de a face publice orice fel de date.
Asadar bucurati-va daca da peste voi Tocsixu si nu vreun alt hacker care sa va faca cine stie ce cu site-ul. :)
Tocsixu - felicitari pentru initiativa! Atata timp cat incercati sa folositi cunostintele voastre pentru a indrepta anumite lucruri, din partea mea, jos palaria!
... asa ca folositi proceduri stocate si comenzi parametrizate :P
pai mai eu nu am vazut acolo decat sql injection .. si .. atat.. nimic mai "serios" ca sa zic asa.. de asta am zis "script kiddies" :)
ca vulnerabilitati de astea care cred ca tin mai mult de lene si ipocrizie (si prostie nu in ultimu rand) din pacate se gasesc destul de usor si nu ii fac pe detinatorii/detinatorul acelui blog foarte mari hacker/crackeri(ca si asta sunt notiuni tare dezbatute :P )
eu unul cel putin sunt fan a chestiilor de genu si sa fi gasit eu vulnerabilitatile as fi dat drop table fara sa stau pe ganduri ca doar cu avertizari sa isi repare greselile.. nu te baga nimeni in seama.. si nici nu se vor invata minte altfel..
p.s. si nu am facut nicio gafa ci doar ziceam asa in mare.. ca sa fim seriosi ca nici daca treci inputu prin real_escape si strip_tags omu poate sa scrie x0A in loc de ; .. si ce o mai fi .. si sunt mult prea multe posibilitati :P
si pana la urma ce conteaza.. script kiddie sau nu.. atata timp cat se gaseste cate cineva sa le dea peste nas la "profesionistii" aia nu pot sa zic decat mult succes in continuare :P
Cumva nu stii ca mysql_query() nu iti permite query-uri multiple? Se pare ca visele tale mult prea frumoase in care tu dai drop table tocmai ti-au fost spulberate.Citat:
Postat în original de forapathy
Ai gafat... din nou. In primul rand, 0x0A e line feed-ul, nu are nici o treaba cu ;. Si chiar daca ai putea introduce in query nu 0x0d0a, nu rezolvi nimic, tot un singur query e.Citat:
Postat în original de forapathy
Dar oricum, si planul asta tau esueaza din start, degeaba crezi tu ca in query o sa apara 0x27, tot ' apare si tot o sa fie escape-uit de mysql_real_escape_string.
Insa din pacate asa gandesc majoritatea coderilor din ziua de azi: "eh, am citit si eu acolo o data ce face functia aia... si aia... si gata, stiu cum functioneaza totul". Guess again...
Si te rog, nu ma mai provoca la alt reply, mi-e groaza sa intru iar pe-aici sa violez intimitatea altor useri (still Tocsixu @hackersblog)