ochrana $_POST

M1rcO_o · Napísal **M1rcO_o**: 01.01.2010 15:52

Čavte... chcem sa opýtať či na zabezpečenie $_POST stačí niečo takéto :

Kód:

$gtim1= htmlspecialchars(addslashes($_POST['gtim1']));

pokračuje to ďalšími napr. $gtim2,3, atď a potom

Kód:

f (is_numeric ($_POST)) {
   echo "ok domaci";
}
else {
 echo " POZOR : chyba pri zadavani. Vo folmulari boli pouzite znaky ine ako cisla";
   die;
}

B.A.X.O · Napísal **B.A.X.O**: 01.01.2010 16:42

relativne áno.
Ale záleží čo s tým robíš, ak máš nejaký formulár a tak...tak je tu vysoké riziko útoku CSRF, hoci je dobre že používaš radšej POST ako GET, (dobre proti tomu druhu utoku) tak môže to byť aj o tom, že niekto si spraví formulár a pošle ti tam iné hodnoty.

takže v podstate môžeš to zabezpečiť proti napr. vloženiu script kodu (htmlspecialchars) ale tých rizík je nespočet.
ja som si tiež donedávna myslel ako dobre to mám zabezpečené,
dokial som nezistil že v pohode si to prepíšem iným formulárom.

teda ak si sa pýtal na toto, všeobecne. čo sa týka tej kontroly na čísla to je ok, aj tie htmlspecialchars atd.

M1rcO_o · Napísal autor témy **M1rcO_o**: 01.01.2010 16:51

B.A.X.O : ako myslíš, že prepísať iným formulárom ?

B.A.X.O · Napísal **B.A.X.O**: 01.01.2010 17:20

ja len ťa upozorňujem na CSRF, aby sa ti nestalo že máš takýto formulár s php ktorý ho spracúva:

Kód:

<form action="" method="post">
 <input type="text" name="hodnota">
 <input type="submit" name="send" value="Poslat">
</form>

<?php

if(isset($_POST['send'])){

$hodnota = htmlspecialchars(addslashes($_POST['hodnota']));

echo $_POST['hodnota'];

}

?>

no, súbor sa volá napr. lol.php, niekto si pozrie aha takže on takto posiela data hmm...
spraví si súbor napr. attack.html, a donho umiestni tento html form action formulár:

Kód:

<form action="/tvoja adresa/lol.php" method="post">
     <input type="text" name="hodnota" value="400">
     <input type="submit" name="send">
</form>

po odoslaní, tohto formuláru s cudzieho suboru ti prepíše hodnotu $_POST['hodnota'] a tým padom ti odošle na form nechcenú hodnotu:)
v prípade že to potom niekam ukladáš, dostaneš podvrhnuté hodnoty.
toť príklad na použitie CSRF.

ide o najbežnejší útok na webe, a snad aj najhorší lebo je kvalifikovany v podstate ako bežný request, a brániť sa proti tomu nie je zrovna lahké.

M1rcO_o · Napísal autor témy **M1rcO_o**: 01.01.2010 17:24

ako sa dá proti tomu zabrániť ?

B.A.X.O · Napísal **B.A.X.O**: 01.01.2010 18:02

bráni sa proti tomu veľmi ťažko, v podstate dve také najpriamejšie možnosti sú:

1. tokeny
2. overovanie

overovanie spočíva v tom, že pri odosielaní POST dát, sa spýtaš či skutočne chcete túto akciu vykonať, to nemá útočnik jak obísť, takže toto je prvá možnosť
ale to sa hodí skôr v administrácii a tak, lebo pýtať sa pri registrácii "chcete sa skutočne zaregistrovať?" by bolo asi trošku odveci...

tokeny sú známe, budeš generovať náhodné reťazce a čísla najlepšie pomocou troch funkcii, a to md5, uniqid, a rand. a potom overovať, či to súhlasí, zároveň je to aj o tom že token je na jedno použitie...potom stráca platnosť a viacej sa akcia pre ten token končí.

doporučujem prečítať články o Cross site request forgery(CSRF), je toho velmi vela...ako som povedal,
obrana proti tomuto 100% neexistuje. ide iba o to, čo najviac to útočníkovi sťažiť...

M1rcO_o · Napísal autor témy **M1rcO_o**: 01.01.2010 18:08

no ono to je celé v administrácií.... má potom zmysel overovať ešte aj takéto formuláre ?

B.A.X.O · Napísal **B.A.X.O**: 01.01.2010 18:34

no pozri...celé to závisi od toho, že takto ta nemôže napadnúť hocikto.
ak mas toto v administracii, co predpokladam ze mas osetrene admin pravami a loginom, tak takto ta nikto napadnúť zvonku, ani z user uctu nemôže.
pointa tohto utoku je v tom, že ta niekto napr. skontaktuje a ukaze ti nejaku stranku ked ty budes prihlaseny v administracii. ty tam prides, ale nebudes vediet ze to odkazuje do tvojej administracii aby to tam nieco napr. vymazalo takže - tam prides, a utočník skrz teba infiltroval tvoju administraciu.
o tomto tento utok je. to isté aj z usermi obycajnymi.

a taky link sa da skryt vážne dobre, iframe, obrazky atd..proste ta to hned nenapadne alebo na to vobec neprides. a ked tak uz je neskoro

M1rcO_o · Napísal autor témy **M1rcO_o**: 01.01.2010 18:45

ok.... inak ale robím fakt malý a veľmi úzko špecificý web, takže až do takej hĺbky to zas nemusím mať zabezpečené

) diki

DARSON · Napísal **DARSON**: 02.01.2010 0:21

Pri čítaní tejto témy ma napadla jedna moja skúsenost.

Hravam online hru travian a raz som si vytvoril HTML subor, ktory vyzeral asi takto:

Kód:

<form method=post action=http://www.travian.sk/login.php>
 <input type=text name=meno value="moj nick" />
</form>

...mal ma automaticky prihlasit...

a hned pri nacitani stranky som tento formular javascriptom odoslal...,
ale nefungoval mi...

Patral som a dopracoval som sa k zaujimavemu rieseniu ochrany dat. Cely system spocival v tom, ze nazov pola kam pisete meno a heslo sa pri kazdej navsteve stranky menil. Pravdepodobne to riesene pomocou session (relacií) a php. Potom som to použil aj na mojej stránke.

Kod vyzera asi takto:

Kód:

<?php
session_start();
$cislo=rand();
$_SESSION['meno'] = $cislo;
?>

<form method=post action=http://www.travian.sk/login.php>

 <input type=text name=
<?php echo $_SESSION['meno'] = $cislo; ?>
 value=moj nick />

</form>

...no a teraz nasleduje php skript, ktory ziska meno a heslo asi takto:

Kód:

$meno = $HTTP_POST_VARS[$_SESSION['meno']];

..a nasleduje pokracovanie skriptu, ktory vas prihlasi...

A bezpecne prihlasovanie je na svete...

Neviem ci ste to pochopili, mozno sa to zda tazke, ale kto ma nejake skusenosti s PHP urcite to zvladne...

Tominator · Napísal **Tominator**: 02.01.2010 0:32

Toto riešenie, nie je podľa mňa múdre.

DARSON · Napísal **DARSON**: 02.01.2010 0:34

Mozem vedet preco?

juho · Napísal **juho**: 02.01.2010 10:08

B.A.X.O píše:

spraví si súbor napr. attack.html, a donho umiestni tento html form action formulár:

Kód:

<form action="/tvoja adresa/lol.php" method="post">
     <input type="text" name="hodnota" value="400">
     <input type="submit" name="send">
</form>

po odoslaní, tohto formuláru s cudzieho suboru ti prepíše hodnotu $_POST['hodnota'] a tým padom ti odošle na form nechcenú hodnotu:)

a aka nechcena hodnota by to mala byt? sak to je ten isty formular len na zaciatku bude v tom inpute hodnota 400 predsa nechapem co si tym chcel poukazat..
a ked sa niekde prihlasujes tak sa ti ma brat hodnota z ineho suboru alebo databazy a porovnavat so zadanym hadam

tyr · Napísal **tyr**: 02.01.2010 10:25

B.A.X.O poukazoval iba na to ze si hocikto moze vytvorit formular na svojej stranke a posielat to k tebe. V podstate je ten M1rcO_ov formular bezpecny pretoze nech formular odkazuje odkialkolvek vzdy prejdu autentifikaciou len cisla.

B.A.X.O · Napísal **B.A.X.O**: 02.01.2010 11:11

aspoň ako ja počúvam, tak sa to rieši obvykle tokenmi s platnosťou.
to znamená že to nezastaví útok na 100% ale napr, keď nastavíš platnosť desať sekúnd, a je tam token ktorý sa mení, tak útočník musí zakaždým token okopírovať, nemôže to nijak inak lebo je tam vždy iný, kym to nakopíruje do toho form actionu, uloží, tak čas vypršal...no ono to nie je 100% ochrana, ale ja mam niečo podobné...

inak juho, a registracny form ta nenapadol? tam budem odkial brat udaje? neviem čo sa ti nevidí...prečítaj si niečo o CSRF než ti niekto zloží web.
podstata toho je v tom, že keď dám všetko tak isto ako overuje PHP subor, aj meno submitu tak sa to kvalifikuje ako normalny request:)

a nemení to nič na tom, že ked už tam má ten is_numeric tak budem posielať len číselné hodnoty:) to dalej môže ošetriť povolenými miestami, na napr. dvojciferné číslo...

žiadna ochrana nie je 100%, proste je to jeden z najhorších útokov. to ja som raz vymýšlal, že by som po odoslaní presmeroval na jeden s petice suborov, a odtial zas na dalsiu peticu ktora uz by vykonala to co ma, pricom s tej prve petice by sa presuval vykonavaci kod do tej druhej...
to znamená že útočník by nevedel čo tam má prepísať, dostával by sa na súbory náhodne a velmi ťažko by sa na to prišlo...zvlast po tom co by som tam dal htacces s blokovanim tychto suborov.
(ale tento sposob bol spojeny s jednym ajax kodom, normalne by to bolo asi zbytocne)

neviem no, raz možno niekto príde s nejakým prevratným riešením.

GoodWill · Napísal **GoodWill**: 02.01.2010 11:45

tokeny s platnostou su riadne nechutna zalezitost

Vzdy treba citlivo pristupovat k hranici medzi bezpecnym a pre uzivatela prijemnym webom. Tokeny s platnostou par sekund su hodne daleko za touto hranicou prijemneho pouzivania. Web bude bezpecnejsi, ale neustale hlasky o neplatnych tokenoch kazdeho otravia.

DARSON · Napísal **DARSON**: 02.01.2010 11:45

Kto nasiel sposob ako prelomit moje zabezpecenie nech sa ozve. Zagratulujem mu. Mne sa to nepodarilo ani raz...

GoodWill · Napísal **GoodWill**: 02.01.2010 11:50

Neruzumiem preco dynamickemu priradovaniu nazvu pre fieldy na stranke hovoris ochrana

A nerozumiem co na tom chces prelomit. S bezpecnostou to nema absolutne nic spolocne.

juho · Napísal **juho**: 02.01.2010 11:59

tyr píše:

B.A.X.O poukazoval iba na to ze si hocikto moze vytvorit formular na svojej stranke a posielat to k tebe.

no sak to vie predsa kazdy ze si moze vytvorit postovy formular a posielat ho kam chce, to neje ziadne tajomstvo takze neviem co sa natom tak vzrusujes

B.A.X.O píše:

inak juho, a registracny form ta nenapadol? tam budem odkial brat udaje? neviem čo sa ti nevidí...prečítaj si niečo o CSRF než ti niekto zloží web.
podstata toho je v tom, že keď dám všetko tak isto ako overuje PHP subor, aj meno submitu tak sa to kvalifikuje ako normalny request:)

sak to aj je normalny request ocom ty pises ja ta nechapem sak to je normalne predsa nato su formulare aby si nemusel chodit na tu stranku a vsetko nacitavat spravis si vlastny a mas to rychlejsie. a ak chces aby to mohol zadavat len "na tvojej stranke"(pretoze html kod sa stahuje vzdy ku klientovi az si to nevedel) tak do toho php kodu pridaj este podmienku ze po submite bol presmerovany z tvojej url adresy

Kód:

$_SERVER[HTTP_REFERER]

ale aj tak ti to je nanic pretoze kludne po nacitani si mozes do navigatoru napisat nieco ako

Kód:

javascript:void(document.forms[0].hodnota.value=400)

a mas ten isty formular(podla teba ten nepravy)a v hlavicke si presmerovany z toho tvojho formulara tak nechapem ze co teba natom vzrusuje... na tomto nieje nic nebezpecne

B.A.X.O · Napísal **B.A.X.O**: 02.01.2010 12:22

HTTP referer ti obídem za pár sekund addonom do firefoxu, konkretne RefControl

Citácia:

tokeny s platnostou su riadne nechutna zalezitost Vzdy treba citlivo pristupovat k hranici medzi bezpecnym a pre uzivatela prijemnym webom. Tokeny s platnostou par sekund su hodne daleko za touto hranicou prijemneho pouzivania. Web bude bezpecnejsi, ale neustale hlasky o neplatnych tokenoch kazdeho otravia.

ale ja som to dal ako príklad:) môj token môže mať platnosť tak 30min, tak snáď keď už user na ten form príde, tak snáď ho aj odošle, a nebude čakať 30min dokial vyprší token...to je potom odveci, za to si môže sám.

Blackdevil · Napísal **Blackdevil**: 03.01.2010 1:35

sak ked prijmas udaje od usera tak isch treba poosetrovat..napr ked je tam policko tel cislo tak kontrolujes ci obsahuje iba tie znaky ktore ma obsahovat nie? tak to je asi najlepsie alebo sa mylim? ked mas udaje na meno tak po odoslani kontrolujem dlzk ua ci odoslany obsah obsahuje iba povolene znaky neviem zatial zeby niekto mal v mene znaky ako <>'!: atd..

juho · Napísal **juho**: 03.01.2010 9:56

Blackdevil píše:

sak ked prijmas udaje od usera tak isch treba poosetrovat..napr ked je tam policko tel cislo tak kontrolujes ci obsahuje iba tie znaky ktore ma obsahovat nie? tak to je asi najlepsie alebo sa mylim? ked mas udaje na meno tak po odoslani kontrolujem dlzk ua ci odoslany obsah obsahuje iba povolene znaky neviem zatial zeby niekto mal v mene znaky ako <>'!: atd..

nie to nieje to.
to ma byt nieco take ze ty si vytvoris web s prihlasovanim uzivatelov a s funkciami ze uzivatel si moze mazat nieco (napr: vlastne prispevky).
tento uzivatel sa prihlasi na tvoj web pomocou session napr. no a teraz ta hlavna vec ze z nejakeho dovodu ten prihlaseny uzivatel medzitym jak beha po tvojich strankach navstivi este ten utocny web, ktory je zamerany robit skody na tvojom(uz to je pravdepodobne jak styri svine) a na tom utocnom webe by mal byt nejaky skryty iframe aby ho ten "oklamany" uzivatel nevidel ktory by odkazoval na tvoju stranku pricom by mal vymazat nieco. a to si vyzaduje aby ten co robil ten utocny web poznal funkcie tvojho webu ako napr: mazanie prvkov

Kód:

prvky.php?vymaz&id=5

co znamena ze ten co robil ten utocny web namiereny proti tvojmu musel sa uteba zaregistrovat a zistit ako to tam funguje.
a teraz spat k tomu iframeu:
ten by mal v sebe az mas to mazanie spravene cez potvrdzovaci formular form s action="wewewe.tvojweb.com/.../prvky.php?vymaz&id=5" a metodou post a tie prvky co sa postuju a este tam odoslanie formulara najskor cez js document.form["formular"].submit() a az to mas len cez odkaz alebo get tak ten iframe by odkazoval na wewewe.tvojweb.com/.../prvky.php?vymaz&id=5
pricom ten uzivatel by musel mat platne prihlasovacie session z tvojho webu.

B.A.X.O · Napísal **B.A.X.O**: 03.01.2010 10:12

juho píše:

nie to nieje to.
to ma byt nieco take ze ty si vytvoris web s prihlasovanim uzivatelov a s funkciami ze uzivatel si moze mazat nieco (napr: vlastne prispevky).
tento uzivatel sa prihlasi na tvoj web pomocou session napr. no a teraz ta hlavna vec ze z nejakeho dovodu ten prihlaseny uzivatel medzitym jak beha po tvojich strankach navstivi este ten utocny web, ktory je zamerany robit skody na tvojom(uz to je pravdepodobne jak styri svine) a na tom utocnom webe by mal byt nejaky skryty iframe aby ho ten "oklamany" uzivatel nevidel ktory by odkazoval na tvoju stranku pricom by mal vymazat nieco. a to si vyzaduje aby ten co robil ten utocny web poznal funkcie tvojho webu ako napr: mazanie prvkov

Kód:

prvky.php?vymaz&id=5

co znamena ze ten co robil ten utocny web namiereny proti tvojmu musel sa uteba zaregistrovat a zistit ako to tam funguje.
a teraz spat k tomu iframeu:
ten by mal v sebe az mas to mazanie spravene cez potvrdzovaci formular form s action="wewewe.tvojweb.com/.../prvky.php?vymaz&id=5" a metodou post a tie prvky co sa postuju a este tam odoslanie formulara najskor cez js document.form["formular"].submit() a az to mas len cez odkaz alebo get tak ten iframe by odkazoval na wewewe.tvojweb.com/.../prvky.php?vymaz&id=5
pricom ten uzivatel by musel mat platne prihlasovacie session z tvojho webu.

gratulujem juho, niekto si tu prečítal článok Jakuba Vrány o CSRF...
ale hlavne že už si tomu pochopil

juho · Napísal **juho**: 03.01.2010 10:39

keby si cital prispevky co som napisal tak by si vedel ze ja som to chapal odzaciatku

B.A.X.O píše:

gratulujem juho, niekto si tu prečítal článok Jakuba Vrány o CSRF...
ale hlavne že už si tomu pochopil

lenze ty si to asi neprecital...
to je viac teoreticka vec nez prakticka takze tak..
a IE teraz by to mal uz zablokovat pretoze IE teraz uz blokuje uplne vsetko.
a ine prehliadace by mali mat voci takemu niecomu tiez ochrany takze si uplne vedla podla mojho skromneho nazoru.

B.A.X.O · Napísal **B.A.X.O**: 03.01.2010 11:30

juho píše:

keby si cital prispevky co som napisal tak by si vedel ze ja som to chapal odzaciatkulenze ty si to asi neprecital...
to je viac teoreticka vec nez prakticka takze tak..
a IE teraz by to mal uz zablokovat pretoze IE teraz uz blokuje uplne vsetko.
a ine prehliadace by mali mat voci takemu niecomu tiez ochrany takze si uplne vedla podla mojho skromneho nazoru.

odmietam sa tu s tebou hádať juho. Ako môžu byť prehliadače voči tomuto odolné, ked je to v podstate normálny request? ty si asi slepý, neviem kto nečíta čo ja píšem...keby boli voči tomu browsre odolné, ani to tu nespomínam...

tento príspevok konkretne:

Citácia:

a aka nechcena hodnota by to mala byt? sak to je ten isty formular len na zaciatku bude v tom inpute hodnota 400 predsa nechapem co si tym chcel poukazat..
a ked sa niekde prihlasujes tak sa ti ma brat hodnota z ineho suboru alebo databazy a porovnavat so zadanym hadam

značí že si to pochopil? neznačí, tak sa nediv že ti píšem čo ti píšem.
až teraz o dva prispevky vyššie si konečne vystihol podstatu CSRF.
inak ja sa ospravedlnujem ak som prehliadol niečo čo si napísal, ale ja som sa ti aspoň ospravedlnil a priznám si to.
kdezto ty klepes jedno cez druhe, ako rezne...a nepriznas si to.

juho · Napísal **juho**: 03.01.2010 12:57

ked tomu neveris a myslis si ze mas pravdu tak dokaz co tvrdis.
napriklad na pcforum: sprav stranku aby to zmenilo uzivatelovu emailovu adresu... na trebars xxx@xx.xx a aby to bolo funkcne aj ked nikomu nenahovoris aby si otvoril nejaku stranku(" tu co spravis ") co vobec nepozna a pritom aby mal aktivne session pre prihlasenie na pcforum.
a az to nedokazes tak potom je zbytocne tu strasit ludi niecim takym ako je tamta zalezitost.
az to dokazes tak potom mas pravdu ty a to uz nikto nebude moct vyvratit

Ďuri · Napísal **Ďuri**: 03.01.2010 13:23

juho
Pozri na http://djpw.cz/100283, phpBB ma proti tomu obranu (vyzaduje sid), niektore ine systemy nie. Ak si system nedokazes zabezpecit dostatocne (vyzadovanim http_referera alebo nejak inak), hocikto ti moze podvrhnut takyto formular a narobis si skodu.
To s tou odolnostou prehliadacov som tiez nepochopil.

juho · Napísal **juho**: 03.01.2010 14:04

Ďuri píše:

phpBB ma proti tomu obranu (vyzaduje sid), niektore ine systemy nie.

ono toho ma aj viac a pre zmenu emailu vyzaduje dokonca aj heslo

Kód:

<input type="hidden" name="agreed" value="bd071a4ea47f583c9ed3f37bd9d8fffb" />
<input type="hidden" name="sid" value="b6e478e37a936acae8677ba112026fec" />
<input type="hidden" name="user_id" value="5396" />

a take nieco ako vybrat hodnoty cez iframe nepozname ze .. no tak na nejakom inom webe teda mne natom nezalezi...

a este doplnim co som pisal uz predtym, ale teraz to nieje odomna .
: cross-site-request-forgery útok na webovou aplikaci je možný,jen pokud oběť navštíví útočníkovu stránku, která odešle předem připravený formulář (např. akce typu „smaž vše“).
: Útočník musí znát webovou aplikaci. Musí připravit formulář s akcí, která se provede, až oběť navštíví útočníkovu stránku.
: Útočník musí oběť nějak přesvědčit, aby navštívila jeho stránku. Asi nejjednodušším příkladem je e-mail s odkazem a textem: „už jsi viděl dnešní vtip na mém blogu?“
a este neviem preco to tam nieje zdoraznene pretoze to je ta najdolezitejsia cast
: Útok totiž proběhne z prohlížeče oběti (která je přihlášena do aplikace) a odeslání formuláře směřuje do aplikace oběti (do které je oběť přihlášena). (musi byt aktivne prihlasena a to tym emailom asi nedosiahne ze by poslal postou pozri si ten vtip ale najprv sa predtym este prihlas na tento web dakujem za dodrzanie instrukcii)

az sa toto niekomu podari tak obeť si priamo ziada aby bola oklamana. a aj tak to stale nieje utok ako taky na web. pravdaze az ta obet nieje administrator, ale aj tak by utocnik musel poznat jeho system. ale je to utok nanajvys na konto uzivatela.

Ďuri · Napísal **Ďuri**: 03.01.2010 14:27

juho píše:

a take nieco ako vybrat hodnoty cez iframe nepozname ze

Nepozname, neda sa to, nemozes sa rypat v strome dokumentu na cudzej domene.
Kazdopadne, nemas pravdu v tom, ze je to viac teoreticka ako prakticka zalezitost. Vacsina amaterskych aplikacii sa proti CSRF vobec nebrani a ozaj nie je tazke podvrhnut prihlasenemu uzivatelovi odkaz (kludne moze utocnik pouzit trebars tinyurl), staci vediet, ako ho donutit na to kliknut, a ver mi, nie je to tazke.

Unlink · Napísal **Unlink**: 07.01.2010 8:40

a ešte, čo sa týka ochrany, keby som povedzme spravil v DB tabulku s ID,HASH,TIME a vždy pri vstupe na formular by sa vygeneroval riadok a potom sa do formulara dali hodnoty

Kód:

<input type="hidden" name="id" value="1" />
<input type="hidden" name="hash" value="b6e478e37a936acae8677ba112026fec" />

a potom následne by som overil že či hash zodpovedá ID a že či je ešte platný na základe času?
poprípade tu ID posielať v adrese

ochrana $_POST

Podobné témy