|
Вход
Главное меню
|
| Re: Взломали мой ХУПС:((( |
by shperk on 2003/2/10 15:28:33
спасибо, я и сам увидел, что трудновато будет  .
Да и юзера своего убедил. Оказалось, его приятель разыграл - украл пароль и сменил профиль. А я тут всех на уши поставил  .
Но нет худа без добра - по крайней мере, еще раз убедились в безопасности... 
|
| Re: Взломали мой ХУПС:((( |
by conquer on 2003/2/4 15:10:16
Много я полазил по внутренностям xoops, в плане безопасности особенно обратил внимание на xoops2 - абсолютно везде проверки передаваемых переменных, приведение к нужным типам, при записи в БД парсим, после чтения парсим ... много внимания уделено безопасности.
Явная дыра - сторонние модули. Часто пишут как попало и кто попало. Вот там раздолье для эксплоитов.
Совет: перед установкой стороннего модуля, хотя-бы загляните внутрь, если передаваемые переменные сразу подставляются в запрос БД или при обращении к файлу/каталогу без предварительной проверки - бог вам судья, ставьте на свой страх и риск.
|
| Re: Взломали мой ХУПС:((( |
by Anonymous on 2003/2/4 13:35:07
Гм-м...
А ты смотрел как там куки формируются?
Они формируются из uid пользователя, его пароля(md5), версии браузера и IP, затем зашифровываются md5.
Так что подделать их трудновато будет
|
| Re: Взломали мой ХУПС:((( |
by shperk on 2003/2/3 14:50:27
Quote:
... данные,как сказал sphrek кранятся в кука. это исключено.
Но вот я что подумал, если пересылать строку просмотра профиля, в которой есть uid, да потом подредактировать куки... Можно войти под именем того, чей uid имеешь.
Впрочем, посмотрел на структуру кука, и вижу, что инфа в нем хранится в зашифрованном виде. Но вот юзер уверяет, что было 
|
| Re: Взломали мой ХУПС:((( |
by Vlad on 2003/2/3 8:00:38
Quote:
shperk пишет:
Quote:
пишет:
Скорее всего можно его заломать.
Слишком уж много понапихано в него всего, где-нить дырка да и осталась.
Один из моих юзеров прислал мне следующее:Quote:Влзьмите, зайдите под логином на этот сайт, потом скопируйде адрес в браузере и пошлите его другу.. - знаете что будет? Он спакойно сможет зайти в ваш профиль и делать все что угодно, и даже сменить пароль :)
На мой взгляд, это невозможно, т.к. все данные хранятся в куках, но юзер уверяет, что проделал это на абсолютно другом компе и реально сменил профиль...
Чего-й-то я не понимаю- ведь это - не модуль левый... 
И вот, что нашел в Сети:
Quote:Уязвимые версии: Xoops RC1
Диагноз: выполнение SQL - запроса
Xploit: http://victim/userinfo.php?uid=77 drop *
Поиск жертв: файл userinfo.php
Описалово: В скрипте userinfo.php отсутствует проверка на спецсимволы в переменной $uid, которая используется в SQL-запросе, что позволяет вволю поиграть с sql-запросами, модифицируя или удаляя данные ;).
Весело? Поехали!
Если поставить в $uid "7545$", то PHP отрапортует об ошибке:
-отрезано-
...
MySQL Query Error: SELECT u.*, s.* FROM x_users u, x_users_status s WHERE
u.uid=7545$ AND u.uid=s.uid
Error number:1064
Error message: You have an error in your SQL syntax near '; AND u.uid=s.uid' at line 1
...
-отрезано-
Это здорово помогает - ты видишь, как устроен sql-запрос, что позволяет вволю оттянуться ;)! Ну, например... вот так вот:
$uid =2; update x_users password='coolpass'; select * x_from users where uid='1'
Теперь отправляемый SQL-запрос выглядит вот так:
SELECT u.*, s.* FROM x_users u, x_users_status s WHERE
u.uid=2; update x_users password='coolpass'; select * x_from users where uid='1'
AND u.uid=s.uid
Понятное дело, что вместо "update x_users..." может стоять ЛЮБОЙ sql-запрос, права на выполнение которого есть у текущего sql-ного юзера.
ерез строку адреса скьюл запросы не формируются, данные,как сказал sphrek кранятся в кука. это исключено.
|
|
