phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
Jít na stránku:  Předchozí123456Další
Aktuální stránka:5 z 6
Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-06, 18:51

no ale osetreni na vstupu ma jednu velkou nevyhodu, musi se na nej zase myslet pri kazdem vstupu, tedy pokud neco dodatecne editujes a neprovedes znovu to osetreni, tak se ti to zase vrati do te nebezpecne podoby, nebot prohlizec tu html entitu pri te editaci odesle jako normalni dekodovany znak a ty to na vstupu musis znovu zabezpecovat, coz pokud by se jednalo napr o nejakou administratorskou editaci, tak se muze stat, ze nektere kontroly by mohly vadit

Re: Možný hack?
Zaslán uživatelem/kou: xsuchy09 (IP adresa zaznamenána)
Datum: 2007-12-06, 19:04

Takže, bavíme se o možnosti útoku na phpRS ... nalezená chyba je evidentně v přístupu ke čtenářům (registrace, editace). Tvé argumenty o uvozovkách apod. jsou nesmyslné, přečti si o jaká se jedná pole ... nevim jak ty, ale já čtenáře s uvozovkami, html entitami apod. v uživatelském jméně, svém jméně, emailu apod. oželím ... řešení na vstupu ti vyřeší veškerou práci s těmito poli, kdežto řešení na výstupu je chlácholení se, jak je to bezpečné, ale stále k tobě bez problému dostanu nebezpečný kód a je už jen otázka času, až se zas začne rozšiřovat plugin s neošetřením při výpisu jednoho z takto uložených vstupů ... jediné vstupy ukládané z frontendu jsou ty od uživatele a i kdyby jich bylo milion, měly by být ošetřeny všechny před uložením a vstupem do systému a ne až při jejich použití systémem ... nebezpečný kód si já do systému neuložim, pokud ty ano, upřímnou soustrast ;)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-06, 19:22

no treba to pole nick, kterym se prihlasujes, by kvuli ztizeni odhaleni prihlasovaciho jmena a hesla takoveto znaky mit mohlo, ja u uzivatelu, kde si preji vyssi bezpecnost takoveto znaky pouzivam (a treba standardni ucet administrator prejmenuji na neco uplne jineho)

a krome toho, kdyz by se tam nekomu podarilo neco ulozit nejakym "nestandardnim" postupem, pak kdyby se to neosetrilo az pri zobrazeni, tak by se takovyto kod taky bez problemu provedl, nebot se spolehas na to, ze tam nic takoveho neni



Celkem upraveno 2×. Poslední úprava MirekS v 06.12.2007 19:36.

Re: Možný hack?
Zaslán uživatelem/kou: xsuchy09 (IP adresa zaznamenána)
Datum: 2007-12-06, 19:55

Jenže přes správně napsaný regulární výraz prostě nic jiného než co povolím nedostaneš ... jinak bavíme se o čtenářích, nikoliv o administrátorských účtech. Jinak nevím jaké jiné znaky používáš v nicku, než abecední znaky, pomlčku, podrtžítko a tečku ... jiné znaky jsou IMHO v těchto polích nežádané a neopodstatněné ... pokud to uživateli bude vadit, nemusí se registrovat, jak jsem psal, uživatele s uvozovky, html entitami, znaky jako &, #, $ apod. prostě v systému nevítám, naopak nepovolím ... (asi jako poskytovatelé emailu, validní emailovou adresu z těchto znaků u 99% poskytovatelů nezaregistruješ a pokud někde ano, jedná se spíše o chybu, než o úmysl ... hádej proč) ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================



Celkem upraveno 1×. Poslední úprava xsuchy09 v 06.12.2007 19:55.

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2007-12-06, 19:56

Viem, jasné, obmedzenie to určite je. Otázka je, čo je menšie "zlo".

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-06, 20:15

xsuchy09 napsal/a:
-------------------------------------------------------
> Jenže přes správně napsaný regulární výraz prostě
> nic jiného než co povolím nedostaneš

kdyz pisu nestandardni zpusobem, mam na mysli napr sql injection {co se tyce mysql, je treba si hlidat hlavne insert into, nebot jeden prikaz muze vkladat vice zaznamu, takze aby se nekomu nepodarilo najit cetu, jak treba sikovne rozsirit vlozeni (hodnota1, hodnota2, hodnota3) tim, ze tam jako hodnota1 vpasuje neco takoveho "hodnota21, hodnota22, hodnota23), (hodnota1" cimz si vlozi co chce, nebo se SQL prikaz da predcasne ukoncit pomoci # a zbytek se bere jako komentar}, kterou jsi mohl nekde prehlednout, nebo muze byt napr v phpmyadminu - tam je taky porad opravovana spousta chyb, takze ten zaskodnicky kod se tam proste objevit muze a nebude-li osetren na vystupu, tak je pravdepodobne, ze se provede

Re: Možný hack?
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2007-12-06, 20:31

To: MirekS
Petr má pravdu v tom, že je potřeba zablokovat už vstup, protože pokud ti někdo (script) uloží do DB cokoliv, co není bezpečné, může se to časem obrátit proti tobě. Co je platné ošetřovat výstup, když máš škodílka už ve zdroji dat.
Prostě nebezpečný kód je zbytečné jakkoliv ošetřovat, ten je potřeba zlikvidovat hned na začátku při pokusu o uložení...

P.S.
Pa3ku díky, sice byl u mne v logu nějaký pokus o XSS, ale protože byl serverem odmítnut hned v zárodku, nevěnoval jsem mu pozornost!

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-06, 21:04

chapu ze je lepsi si do db nic neulozit, ale za lepsi reseni osetreni vstupu bych povazoval funkci strip_tags() ktera odstrani html tagy a pritom neomezi pouzivani specialnich znaku (a pripadne se daji definovat tagy, ktere ma nechat)
navic, pokud je dusledne osetren vystup (a snazil jsem se vysvetlit proc to je nutne udelat vzdy a nespolehat se na to, ze se tam nic nedostane), tak se nejspis ani nic nebezpecneho nedostane do db, nebot moje zkusenosti jsou takove, ze pokud hacker nevi, jestli mu to bude fungovat, tak to nejdrive zkousi napr
<script>alert("Hacked")</script>

to je to, co jsem odchytil na jednom webu, ktery spravuji, a ono se mu to nasledne hned zobrazi a neprovede, tak nic dalsiho nezkousi, nebot by se jeho utocny kod rychle prozradil, kdyby ho vsichni videli (v tomto pripade se mu to ani neulozilo, diky filtru na spam)

Re: Možný hack?
Zaslán uživatelem/kou: xsuchy09 (IP adresa zaznamenána)
Datum: 2007-12-06, 21:16

Asi jsi správně nepochopil schopnost regulárních výrazů, ale i jiných možnost omezení vstupu - nastavíš si ho jak chceš a dál se o to nestaráš a data vesměs v klidu vypisuješ ... jakmile vstup necháš libovolný, je otázka času, kde zapomeneš ty nebo někdo jiný omezit výstup ... prostě ano, klidně ošetřit aj výstup jako doplňková ochrana v případě průšvihu, ale první a hlavní ochrana musí být na vstupu ... představ si např. firewall, tak nějak by to mělo fungovat (zastavit při vstupu, ne uvítat a pak omezovat) ... asi jako kdyby sis do PC dal do adresáře NESPOUŠTĚT VIRY! hromadu virů a věděl, že tam je nebezpečný obsah a nemáš ho spouštět a pak přijde tvůj známý, děti, kdokoliv jiný a samozřejmě něco spustit zkusí - adios, tvoje ochrana na výstupu v podobě pozor je tam nebezpečí je k ničemu ... ten samý postup se opakuje s nebezpečně uloženými daty v napsaném pluginu někým, kdo o tvém svévolném ukládání dat neví, nebo nemá potuchu o nějakém nebezpečí a je rád, že mu skript funguje jak zamýšlel ... já osobně bych nikdy v pluginu neošetřoval výpis z defaultní tabulky systému např. uživatelů uživatelská jména pomocí např. htmlspecialchars apod., pokud ty ano, pak jsi paranoik, a to větší než já, což je co říct, takže smekám a gratuluju :D řešte příčiny (ve smyslu předcházení, ne obcházení), ne důsledky ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================



Celkem upraveno 1×. Poslední úprava xsuchy09 v 06.12.2007 21:20.

Re: Možný hack?
Zaslán uživatelem/kou: xsuchy09 (IP adresa zaznamenána)
Datum: 2007-12-06, 21:22

Jinak tvůj příklad je bezpředmětný, "hackerovi" se tento jeho vstup zobrazí i při použití htmlspecialchars, jen to má tu obrovskou výhodu, že už je to tak i v DB a nejsi tedy nijak ohrožen pokud spustíš kód omylem jinde ... nedávej si do DB škodnou, když nemusíš ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2007-12-06, 21:33

Ono to má aj jednu drobnú praktickú výhodu z pohľadu optimalizácie záťaže. Zápis je v našich vodách zriedkavejšia operácia ako výber hodnôt. Ak ošetrím vstup, získam výkon navyše na výstupe a to sa ráta.

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-06, 21:46

no tady se holt lisime v nazoru, ja povazuji za hlavni osetrit vystup, nebot zde si jsem jist, jak se data zobrazuji a jak jsou osetrena, zatimco ochrana na vstupu je pro me doplnkova, nebot nemam jistotu, jaka data a odkud se mi tam dostanou (je mene pravdepodobne, ze udelam chybu v osetreni vystupu, zatimco udelat chybu, ktera mi umozni treba sql injection je vice pravdepodobne, nebot nemusim dobre znat vsechny praktiky hackeru, kterym se mam branit)
pokud ma vstup necemu odpovidat, tak ho kontroluji (format emailu, rozsah cisel, odstraneni html tagu, pokud tam nemaji co delat apod) ale omezovat jen na urcite znaky mi prijde nevhodne (pokud to neni primo pole, kde jsou predepsany jen urcite znaky)
treba takova hloupost jako trojtecka nebo pomlcka
kdo pise text ve wordu nebo excelu, tak ten za nej takoveto znaky vyrabi a pak vlozeni prosteho textu pres schranku by neproslo, nebot se tam neobjebuje klasicka pomlcka - ale – nebo ta trojtecka misto tri obycejnych tecek … a dotycny ani netusi, ze tam ma takoveto specialni znaky
a dost me nastve, kdyz chci nekam neco napast a zjistim, ze to co jsem chtel zobrazit je zmrsene, nebot se neco interpretuje, neco potlaci apod
a mam-li parafrazovat tvuj vyrok, jakmile jednou neudelas ostreni vystupu, a tvuj hosting prejde treba na novou verzi pma, kde se najde chybka, kterou ti tam nekdo neco podstrci, a najednou je problem (a to i pres to, ze cela tvoje aplikace je na prvni pohled perfektne osetrena na vstupu)
a priklad z pluginem lze i obratit, co kdyz se nekdo spoleha na ochranu na vystupu a pres takovyto plugin se ti tam pak dostane neco, co necekas
a je pravda, ze posledni dobou jsem dost zmenil nazor na bezpecnost a asi jsem dost paranoidni, kdyz vidim co vsechno hackeri zkouseji (napr pohled do logu webserveru, kdy vidim, jak zkouseji vkladat do url vsechno mozny jako parametry, aby se dostali nekam dal)



Celkem upraveno 2×. Poslední úprava MirekS v 06.12.2007 21:53.

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2007-12-06, 22:23

Bezpečnostné normy pre informačné systémy samozrejme vyžadujú validáciu vstupu aj výstupu, no to už sme v inej kategórii. :)

Re: Možný hack?
Zaslán uživatelem/kou: xsuchy09 (IP adresa zaznamenána)
Datum: 2007-12-06, 23:28

Samozřejmě že je nutné ošetřit obojí, ale tvé příklady nemají hlavu ani patu :) chyba v phpmyadminu bude fatální pro jakoukoliv ochranu (pokud bude phpmyadmin na serveru), pro tebe je náchylnější i při chybě špatného výpisu dat v phpmyadminu (v případě ošetření vstupu takovýto typ chyby nevadí) ... tvůj příklad s wordem by platil pouze v případě WSW editoru, do klasického textarea se vloží čistý text ... v phpRS WSW defaultně není, natož pak ve frontendu ... no to je jedno, každý si dělejme jak uznáme za vhodné, ty si ukládej všechny útoky do db a ošetřuj si je na výstupu, já si ošetřím obojí :) rozhodně si ale žádné takovéto kódy a znaky někde kde nemají co dělat ukládat nebudu a nebude si je ukládat ani žádný z mých zákazníků (pokud to nebude jeho výslovným přáním i po mém upozornění z hlediska bezpečnosti) ;) jakou cestou půjde Jirka je jeho věc, předpokládám ale, že se v této problematice orientuje natolik aby věděl, že je nutné data očistit na vstupu před jejich uložením, případně i na výstupu, rozhodně však ne pouze na výstupu ...

btw: nemluvě o tom, že stále asi nechápeš, co je to cílená kontrola zadání na vstupu ... kde budu chtít povolit cokoliv, nebo nějaké znaky atd., tak je povolím, ale prostě v každém vstupu dat do systému povolím jen co bude třeba a nikdy ne něco navíc, co je pro mě potenciálním nebezpečím (ať už přímým, nebo vedlejším). Takže samozřejmě, že když někde budu chtít od uživatele HTML kód, umožním mu ho vložit, až budu chtít někde vstup z WSW, bude vstup z WSW, až budu chtít nick, dostane prostě uživatel podmínku zadat smysluplný nick tak jak je chápán (alfanumerické znaky atd. jak jsem psal) a ne HTML kód nebo změť jiných na daném místě a k danému účelu nesmyslných znaků ... snad už chápeš logiku a smysl kontroly na vstupu, nejedná se o striktní zakázání všeho a všude, ale o striktním přístupu k jednotlivým vstupním položkám dle smyslu daných položek (co chci a očekávám od uživatele, povolím, co nechci a není žádáno, nebude povoleno - ať se to uživateli líbí nebo ne, prostě si tím stanovým nepsaná pravidla, která budou muset být dodržována) ... HOWGH

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================



Celkem upraveno 1×. Poslední úprava xsuchy09 v 07.12.2007 01:21.

Re: Možný hack?
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2007-12-07, 16:03

MirekS wrote
>...
> a je pravda, že poslední dobou jsem dost změnil názor na bezpečnost a asi jsem dost paranoidni
> ...

kdybys byl paranoidní, tak ti ale bude vadit právě ten neošetřený vstup už od počátku. Jak tu psal xsuchy09 a porovnával to s firewalem. Nejdříve je prostě potřeba všechno zakázat a pak teprve rozhodovat, co projde...

Pořádně paranoidní se naučíš být teprve pak, až ti párkrát někdo zboří celý server. A věř, že to není nic příjemného, když nemáš co nasadit jako náhradu. Ale přeji ti, aby tě to nikdy nepotkalo. Pěkný veekend

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2007-12-07, 21:05

abych to shrnul, ja jsem netvrdil, ze kontrola na vstupu nema byt, jen nepovazuji za dobre reseni osetreni vstupu tim, ze zakazu znaky, ze kterych by se potencialne mohl napsat nebezpecny kod nebo tak, ze tyto nebezpecne znaky prevedu na jejich html entity (ja povazuji za nutne tohle osetreni az pri zobrazeni, aby se spravne zobrazily vsechny znaky textu)

na vstupu povazuji za vhodne "logicke" kontroly - tedy kontrolovat jestli dane pole obsahuje to co obsahovat ma (datum, cislo nebo jen urcity ciselny interval, konkretni hodnoty apod)
pokud je vsak pole textove, tak chci, aby se tam daly pouzit vsechny znaky a nechci nijak uzivatele omezovat, zde tedy mohu provadet kontrolu, jestli nejsou pouzivany napr html tagy (coz jsem navrhoval misto toho prevodu na html entity funkci strip_tags), ktere by se tam vyskytovat nemely a pripadne to rozsiruji o kontrolu proti spamu, ktera je dnes dost nutna (taky jsem psal, ze prave tato kontrola odchytila ten pokus o vlozeni toho skriptu), ale nezakazuji zadne konkretni znaky

pokud bych si na vstupu udelal ten prevod na html entity, tak se mi ty nasledne kontroly zesloziti o to, ze nehledam konkretni znaky, ale jejich html entity, coz muze zpusobit i "technicke" problemy s delkou retezce - pokud si delam kontrolu na delku pred tim prevodem, tak po nem mohu mit retezec delsi, nez se mi vejde do tabulky v databazi, pokud delam kontrolu az po prevodu, uzivatele mohou byt prekvapeni, ze i kdyz napsali mene znaku, nez je maximalni delka, tak jim to hlasi prekroceni delky a navic pokud by se tento text zkratil, muze se nejaka html entita prepulit a nebude ulozena cela, takze si ulozim nesmysl a nebo bych musel delat dalsi kontrolu, jestli mi k necemu takovemu nedoslo
take vyhledavani v databazi, pokud tam misto znaku mam html entity, muze zpusobovat problemy (nehlede na to, ze kdybych chtel z nejakych duvod zpracovavat delku retezce, tak budu mit divne vysledky)
proto jsem se zpocatku ohradil proti pouziti funkce htmlspecialchars pri ukladani do databaze

a jeste k tomu wordu a excelu (a openoffice to delaji take) - on ty znaky prevede ihned pri psani diky automatickym opravam, takze nepotrebuji na to zadny WSW editor, staci kdyz si takovouto hodnotu nejake bunky v excelu prekopiruji pres schranku do input boxu formulare a mam tam "nepovolenou" pomlcku (nebo uvozovku ci trojtecku) a nevim, kde jsem k ni prisel

Možný hack? - přesměrování stránky na http://fx.cz/
Zaslán uživatelem/kou: Richmond (IP adresa zaznamenána)
Datum: 2008-01-24, 12:36

Ahoj, potřebuju poradit, neb už jsem v koncích.

Před nedávnem jsem zprovoznil na Webzdarma.cz phpRS ve verzi 2.8.1, web jsem dovybavil pluginy "phpRS Gallery", "Ctenar" a "KForum".

Po pár dnech se bezvadného fungování, se přestala zobrazovat původní stránka siad-sous.fx.cz, ale zobrazuje stránku [http://fx.cz/]

Změnil jsem věškerá přístupová hesla, k webu, k ftp, k databázi - nezabralo to - po chvíli se místo úvodní stránky stále zobrazí stránka [http://fx.cz/]

Smazal jsem veškerý obsah ftp a nahradil poslední zálohou všetně zálohy databáze - opět to nezabralo - za nějakou chvíli se místo úvodní stránky stále zobrazuje stránka [http://fx.cz/]

Prohledal jsem všechny php soubory na výskyt slov ze stránky "fx.cz" včetně možných výskytů linků na "fx.cz" - nic.

To samé jsem udělal u databáze - nic.

Prohledal jsem zdejší fórum - nic.

Jsem v koncích, naprosto mne nenapadá, proč by se měla naše stránka přesměrovávat na [http://fx.cz/]. Mohla by to být nějaká banalita, nebo by to mohl být hack - opravdu nevím.

Prosím poraďte ....


Re: Možný hack?
Zaslán uživatelem/kou: zdenekh (IP adresa zaznamenána)
Datum: 2008-01-24, 14:48

Hm, kdo to poskytuje tenhle hosting? Zkusil ses obrátit tam? Na hostingu bych se ptal jako první.

T. O. Severka Děčín | New r.č. | Old Good Tom | Jinak už v tom nefrčím... :-)

Možný hack? - přesměrování stránky na http://fx.cz/
Zaslán uživatelem/kou: Richmond (IP adresa zaznamenána)
Datum: 2008-01-29, 15:45

Ptal, ale žádné užitečné rady - spíše byla vedena diskuze ve stylu "máš to určitě špatně nastavený, u nás to určitě neni ....".

Tak jsem zkusil vylučovací metodu v praxi, přesunul jsem celý web na nový hosting - nu a problémy zmizely - takže co říci .... prstem ukazovati se nemá .... a když už mám hosting zadarmo, co za služby bych měl chtít .... abych byl za nula peněz obsluhován jako král ? .... Nejsem Temnočech a nebudu hlasitě a ukřivděně křičet, že na něco mám nárok, když jsem vlastně vůbec za nic nezaplatil :-)

Prostě se přesunu jinam a má spokojenost a bude pro ostatní podobné, majákem v temnotách jež je na správné místo přivede .... ;-)

Dobré věci nepotřebují reklam a chvály ....

Díky za účast


Re: Možný hack?
Zaslán uživatelem/kou: msteve (IP adresa zaznamenána)
Datum: 2008-01-29, 23:24

No podla toho co vidim aj ja tak neexistuje vobec tvoj web siad-sous.fx.cz
ale vola sa takto
[http://siad-sous.xf.cz/]

neco.XF.cz a nie neco.FX.cz !!!!!!!!!!!!!!!!!!! zmena znakov

mala chybicka medzi pc a klavesnicou preklep domeny :) stava aj lepsim

MSteve
WEB: Webinfo
Shop: E-shop ---
Reklamný Systém Webinfo:Reklama WebInfo

Shop: Shop-Webinfo
phpRS systems: [url=http://ww.webinfo.sk/referencie.php[/url]
ICQ: 285553903
Skype : msteve1

Jít na stránku:  Předchozí123456Další
Aktuální stránka:5 z 6


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.