error log za stejné období byl zcela prázdný. Přitom v těchto třech dnech se mi tam prokazatelně ten prevít dostal. V tom prvním jsme ho vymazal, a v tom třetím tam už byl ..

Hepbegclub | Čáslavsko | MN Čáslav

IMHO to nešlo cez galériu, určite nie v prípade webu citrusy.cz

jj, jak jsem psal, galerka na citrusech není, takže další vstup a zjevně nezabezpečený je vyhledávání ... nic jiného mě teď nenapadá a nemám moc čas to zkoušet :( musim máknout na diplomce ... kdyby nějaké nové info, dejte vědět ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Moc se v sql-injection utocich nevyznam, ale pokud podezrivate search.php tak ho zkus na nejakou dobu proste vyradit.

Ja vim, ze funkcnost systemu bude na nule, ale co treba jen zakazat zpracovani vstupniho policka formulare? Nebo to nestaci? A je potreba pocitat i s url parametry? (Sorry jestli blabolim)

A co si takhle do db ukladat vsechny dotazy volane z search.php?

A posledni blbej dotaz - nemohl ti nekdo kompromitovat tvoje vlastni heslo?

Hodne zdaru,

Dalibor

Ukladať do db všetky dotazy sa dá ale my nepotrrebujeme vedieť tvar SQL dotazu, to si viem predstaviť ako asi vyzerá, skôr nám ide o to, zistiť cez aký script a akú premennú útok prebieha. Na to je treba logovať POST, GET, COOKIE atd.

Jasne,

kazdopadne by me zajimalo, co to je :-)

Jen porad premyslim, jestli to proste neni tim, ze nekdo ziskal pristup do DB nezavisle na potencialni chybe v kodu - "uhodl" heslo do DB nebo do admin sekce - zkusili jste zmenit si heslo k DB resp. admin.php?

Posledni vec, ktera me napadla - nedalo by se vyuzit trigeru, ktery by se spoustel, kdyz nekdo prida noveho admina? A pokud by pridal, tak by se "neco" spustilo, co by ziskalo info JAK to udelal (POST, GET, ...). Ze by to usnadnilo to hledani v logu. (to je ale asi blbost, co?)

Nevim jestli MySQL trigery ma a jestli vubec takto funguji - prosim nekamenujte me, jestli se pletu :-)

Ahoj,

Dalibor

Nie, prístup cez admin to nebol, pretože v tabuľke session - rs_guard - nezostal záznam.

Trigger to nerieši, k samotnému prieniku dochádza chybou v php kóde, kde sa neošetrením obsahu vstupných premenných neodchití možnosť zloženia nebezpečného SQL dotazu.

Tak zakazem aby promene obsahovaly string INSERT INTO :-D
Dalibor

To bylo myšleno jako dobrý vtip předpokládám ... nejen že by ti nešlo phpRS, ale také se dá vkládat pomocí příkazu UPDATE atd. ... :)) samozřejmě existují jiné lepší a funkční ochrany proti podobným útokům typu SQL Injection, ale bůhví kde je momentálně problém, až se nám dostanou do rukou potřebné logy, budeme vědět víc ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Jasne ze to byl for :-)

sql injection u mysql neni tak uplne jednoduche pomoci php, nebot sql prikaz muze byt pouze jeden a nelze jich odeslat vice, oddelenych strednikem
viz manual: mysql_query() sends an unique query (multiple queries are not supported)
The query string should not end with a semicolon.

takze podle me, jediny mozny zpusob, jak vlozit noveho uzivatele je pomoci souboru auser.php (je to jediny soubor, kde se dela INSERT INTO do tabulky user, pokud jsem dobre hledal) - nebot me nenapada zadna konstrukce, ktera by to umoznila, takze muze jedine "zneuzit" existujici zapis to tabulky user, ktery pouze modifikuje tak, aby si vlozil sveho uzivatele s opravnenim administratora

Pleteš se, nevložíš to jako druhý či x-tý dotaz, ale jako vložený dotaz ;) něco jako že mysql podporuje insert a select pokupě ... ;)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

xsuchy09 napsal/a:
-------------------------------------------------------
> Pleteš se, nevložíš to jako druhý či x-tý dotaz,
> ale jako vložený dotaz ;) něco jako že mysql
> podporuje insert a select pokupě ... ;)
>

no jak jsem psal, nenapada me konstrukce, ktera by do SELECTU vpasovala nejaky INSERT, a pokud to jde, tak by me ta syntaxe docela zajimala

> nenapada me konstrukce, ktera by do SELECTU vpasovala nejaky INSERT

napríklad cez výraz by to ísť mohlo :
SELECT boo FROM foo WHERE TRUE OR (TRUE = DROP TABLE moo)

pa3k napsal/a:
-------------------------------------------------------
> napríklad cez výraz by to ísť mohlo :
> SELECT boo FROM foo WHERE TRUE OR (TRUE = DROP
> TABLE moo)

hlasi tuto chybu:
SQL-dotaz:

SELECT 1
FROM tb_test
WHERE TRUE
OR (

TRUE =
DROP TABLE moo

MySQL hlásí:

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE moo )

to me prijde schudnejsi ukradeni informaci o prihlasenem adminovi z tabulky guard (pomoci sql injection na nejakem SELECTu) a pak podstrceni "falesne" cookies a s tim, ze jsem admin




Celkem upraveno 1×. Poslední úprava MirekS v 03.12.2007 00:05.

tabulku moo jsem vytvoril, takze tim, ze by ji to nenaslo to neni

JJ testujem to a zda sa že poddotaz ani výraz s INSERTOM v MySQL neprejde.

jj, zapomněl jsem na tuto "future" mysql :D normálně je to nejjednodušší SQL injection ... u mysql jde poslat více dotazů jediné přes mysqli a to konkrétně přes mysqli_multi_query() (mysqli->multi_query()) ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

tak tu sleduji tuhle debatu a nedalo mi to, abych neprošel komplexně všechny logy za poslední měsíc a zároveň předtím na týden nezvedl úroveň logování.
Resume: maximální pokusy o dostání se do "admin" adresáře, další útoky provedeny na phpmyadmina, navíc v rozsahu od verze 2.2.3 do 2.8.3, včetně všech RC.
Mám k tomu i "ajpiny", ale většina je přes různé proxy...

BTW toho darebáka zatím v systému nemám... Jinak držím palce...

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

pa3k napsal/a:
-------------------------------------------------------
> Nie, prístup cez admin to nebol, pretože v tabuľke
> session - rs_guard - nezostal záznam.
>

Když někdo prolomí heslo u admina, může v administarci (Záloha DB) spustit libovolný SQL příkaz, t.j. i smazat po sobě záznam v rs_quard. Nebo se mýlím?

Tom_AG
www.Stříbro.net