Díky za postřeh. Opravil jsem to a dal na web.
[http://mart.webz.cz/phprs280/kviz/280_kviz.zip]

--------------------------
Mart, PStudio

technicka - potreboval bych poradit s bbclone_blok pluginem - kdyz ho pridam na phpRS v2.8.0 tak mi to vyhodi hlasku:

Warning: Variable passed to each() is not an array or object in /......../www/plugin/bbclone/bbclone.php on line 31

a na tom radku najdu tohle:

for($week = 0; list(,$wdays) = each($wday); $week += $wdays);

pro jistotu prikladam cely soubor. poradi pls nekdo? ja do toho moc nevidim

V tom kvízu je nějaká chyba.
Já se v php a programování nevyznám, ale jeden kluk mi přes kvíz hacknul celý phpRS, naštěstí všechno zazálohoval a vrátil a řekl mi že všechny hesla se dají zjistit přes Kvízy tak ať se na to mrknu. Nevíte jak se mi tam mohl dostat?

To je vážna vec. Ak je to naozaj pravda, bolo by dobré toho hackera kontaktovať nech tú chybu zverejní, resp. nech ju oznámi autorovy pluginu, prípadne aj mne. Momentálne nemám čas to riešiť, no skúsim na to mrknúť.

Koukám na to a zdá se mi to bezpečné, pomohlo by mi zjištění, jaká hesla se přes to dají získat. Z databáze? Nebo z config.php?

--
[ SAFUS.EU | OFFLINE | FOREVER ]

No, prej nějaký číselný hesla, bohužel, já vůbec nevim kdo to byl a ani mi na sebe nedal kontakt, naše komunikace probíhala přes Návštěvní knihu. Jo a ještě jsem vám zapoměl říct, že stačí když v url [http://www.nazev-webu.cz/kviz.php?akce=kviz&idk=2] změnim tu 2 třeba na 2'...tam mi pak naskočila hláška:

you have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /3w/unas.cz/d/nazev-webu/db/phprs_sql_to_mysql.php on line 119

od tý doby už se na mém webu neobjevil a nic už nenapsal, já jsem pro jistotu ty kvízy dal pryč...

Mrknu na to, zatím mě ale nic nenapadá. Funkce pro přístup k db jsou standardní phprs_sql.
Nejspíš se mu podařilo někam vložit sql dotaz.

--------------------------
Mart, PStudio

Problém by mohl být tady:

... where idk=".$GLOBALS["idk"],$GLOBALS["dbspojeni"]);

to idk které se zjišťuje z volané url by mělo být v uvozovkách (či co je to za znaky)

... where idk='".$GLOBALS["idk"]."'",$GLOBALS["dbspojeni"]);

teoreticky by se za to mohl dopsat nějaký další dotaz, ale nepodařilo se mi to.

--------------------------
Mart, PStudio

tak ten hacker se ozval :)
Prej se mám podívat na funkci addslashes()
...já tomu nerozumim takže nevim :)

Mno addslashes by mělo zajistit mysql_escape_string, ne? A nebo jsem úplně blbej :-)

vuic: Kdyby se ti z něj podařilo vytáhnout kompletní příklad, bylo by to super :-) Protože se mi nějak zdá, že blafuje.

--
[ SAFUS.EU | OFFLINE | FOREVER ]



Celkem upraveno 1×. Poslední úprava Michalek v 28.01.2007 20:42.

zkusim to :)

... where idk=".(int)$GLOBALS["idk"],$GLOBALS["dbspojeni"]);

prípadne pre stringy z $GLOBALS alebo $_GET/$_POST alebo všeobecne zo vstupu treba vždy pred zápisom do db escapovať. V phpRS je na to funkcia phprs_sql_real_escape_string.

Ešte k addslashes. Záleží na nastavení REGISTER GLOBALS a MAGIC_QUOTES_GPC na webe. Ak je na hostingu register_globals = off, prebieha načítanie polí $_GET a $_POST, pričom phpRS automaticky odescapuje vstup pri zapnutej voľbe magic_quotes_gpc = on. Ak má hosting register_globals = on a zároveň magic_quotes_gpc = off, tak tak je teoreticky možné cez neošetrený vstup GET/POST vykonať SQL injection v kóde pluginu ak by tam bola diera. Nastavenie magic_quotes_gpc = on a register_globals = on by malo zabezpečiť ochranu pred SQL injection v phpRS automaticky. Vstup sa totiž pri register_globals = off v phpRS odescapuje automaticky pomocou stripslashes() v súbore admin/aext_prom.php, za predpokladu ýe je zapnuté automatické escapovanie vstupov pomocou magic_quotes_gpc. Ten hacker je asi mimo, ale je možné že v plugine naozaj diera je, takže by som to nepodceňoval a v prípade autora skontroloval či sa nezabudlo na kontrolu všetkých vstupov.



Celkem upraveno 1×. Poslední úprava pa3k v 29.01.2007 09:21.

pa3k
Já jsem ten plugin prohlížel a všude se mi to zdálo ošetřené právě pomocí real_escape_string. Proto jsem se divil hackerem navrhovanému addslashes.

--
[ SAFUS.EU | OFFLINE | FOREVER ]

vsechny vstupy v pluginu jsou osetrene pres phprs_sql_escape_string()

--------------------------
Mart, PStudio

tak jsem to z něj dostal :D
[http://www.nazew-webu.cz/kviz.php?akce=kviz&idk=2%20UNION%20SELECT%20password,password,password,jmeno,jmeno,jmeno,jmeno,jmeno%20FROM%20rs_user%20]--

takhle vypadá ta url

Zde máte screen [http://meteo-centrum.wz.cz/screen.jpg]

Tak to bude pravděpodobně nejaká stará, neošetřená verze, protože ta nová, co je tu nahoře ke stažení mi hlásí standardní kvízový error.

Ale díky za ukázku kódu, něco takového jsem sháněl :-)

--
[ SAFUS.EU | OFFLINE | FOREVER ]

:-) já jsem to stahoval nedávno odtud nahoře tak nevim :) ale to je jedno , stáhnu to znova