otazka bezpecnosti

B.A.X.O · Napísal **B.A.X.O**: 01.01.2009 18:44

mám kod na login:

Kód:

if($Finish['admnick']){
  $_SESSION['login'] = 1;
  $_SESSION['admnick'] = $Finish['admnick'];
  $_SESSION['prava'] = $Finish['prava'];
  $_SESSION['email'] = $Finish['email'];
  $_SESSION['web'] = $Finish['web'];
  header("location: guestbook.php");
}

predtym samozrejme este $Finish = mysql_fetch_array($dotaz); ktory uklada vysledky $dotaz kde je select na udaje a porovnavanie. ale ja sa pytam, lebo podmienka je iba na admnick, ale zabudame na heslo ci to nema byt nieco ako if($Finish['admnick'] and $Finish['pass']){ alebo nieco podobne, lebo sa mi nezda ze iba na nick aby to bolo...co myslite vy? mne to zatial fungovalo normalne ale pytam sa ci to takto je ok

v db sice porovnam aj meno a heslo, ale i tak ma to zaujima

rooobertek · Napísal **rooobertek**: 01.01.2009 19:28

Takúto podmienku môžeš použiť v javascripte, v PHP by si ju mohol trošku inak napísať, lebo ti môže každá hovadina vyhodiť error/warning. Použiť môžeš napríklad if(!empty($Finish['blablabla')).
Ja by som poprosil trošku detajlnejšie popísať problém, mám trochu problém prísť na to, čo sa pýtaš (asi aj preto, že sa mi ešte stále točí svet)

B.A.X.O · Napísal autor témy **B.A.X.O**: 01.01.2009 20:46

ake hovadiny mas na mysli?

rooobertek · Napísal **rooobertek**: 01.01.2009 22:14

Napríklad padne DB, tým pádom bude $Finish false. Takže ti z toho vznikne warning, že Finish nie je array alebo také čosi.

Tominator · Napísal **Tominator**: 02.01.2009 12:21

rooobertek píše:

Napríklad padne DB, tým pádom bude $Finish false. Takže ti z toho vznikne warning, že Finish nie je array alebo také čosi.

no a čo?

veď keď padne DB tak celá stránka bude poerrorovaná ... trda dokým to "neumlčíš"

dalo by sa povedať že problému ale vôbez nerozumiem ...

prídu ti vstupy .. bezpečnostne ich ošetri vopjdi do databázy a spýtaj sa či existuje user ktorý ma meno xx a heslo xy. Potom spočítaj cez mysql_num_rows počet výsledkov pokiaľ je väčší ako 0 tak viež že existuje a nasleduje mysql_fetch_array ktoré zapíšeš do SESSION a teraz sa pýtam čo to má s bezpečnosťou??

rooobertek · Napísal **rooobertek**: 02.01.2009 13:01

Tak zabudni na padnutú DB. Vymažeš užívateľa, tým pádom budeš mať presne 0 záznamov, ak ich vytiahneš podľa užívateľovho mena. Tým pádom neexistuje $Finish['blablabla']

B.A.X.O · Napísal autor témy **B.A.X.O**: 02.01.2009 17:08

viete co? ja sem radsej postnem cely kod...aby ste to mohli lepsie zanalizovat lebo prave na tejto casti mi dost zalezi

Kód:

<?php
session_start();

include "connect.php";

if(isset($_POST['send'])){
  $meno = trim(htmlspecialchars(stripslashes($_POST['meno'])));
  $heslo = trim(htmlspecialchars(stripslashes($_POST['heslo'])));
  $errmsg = "";

if(empty($meno) || empty($heslo)) {
  $errmsg .= "<div class='errorMessage'>Nemáte prístupové práva!</div>";
}

if(empty($errmsg)){
  $dotaz = mysql_query("SELECT * FROM `directors` WHERE `nick` = '$meno' and `pass` = '$heslo'") or die (mysql_error());
  $Finish = mysql_fetch_array($dotaz);  
}

if(!empty($Finish['nick'])){
  $_SESSION['login'] = 1;
  $_SESSION['nick'] = $Finish['nick'];
  $_SESSION['prava'] = $Finish['prava'];
  header("location: adm.php");
}
else
{
  if(empty($errmsg)){
  $errmsg .= "<div class='errorMessage'>Údaje nie su správne, Acces Denied!</div>";
  }
}

}
?>

rooobertek · Napísal **rooobertek**: 02.01.2009 17:49

Celkom dobre, ale pár výhrad:
- or die (mysql_error()) - ee, toto určite nie. Na debugovanie je to dobrá pomôcka, ale užívateľovi NEmôžeš hodiť chybovú hlášku priamo z mysql. Užívateľovi môžeš hádzať jedine chybové hlášky, ktoré napíšeš ty - samozrejme s citom.
- heslo v DB máš v podobe plaintextu. Ja by som ti odporúčil dať tam iba hash z hesla. Napríklad pomocou funkcie sha1. Lepší by bol ešte salted hash, ale nebudeme preháňať zatiaľ.
-skús prehodnotiť použitie SELECT *. Či potrebuješ z DB naozaj všetky polia.
- tie errmsg - máš v podstate dve rovnaké, ale jedna je "Nemáte prístupové práva!" a druhá je "Údaje nie su správne, Acces Denied!" - to daj nejak dohromady

B.A.X.O · Napísal autor témy **B.A.X.O**: 02.01.2009 22:28

no tie error hlasky su ok ak by si to testoval zistil by si ze vsetko je jak ma. a tiez ten select mas pravdu, nepotrebujem vsetky polia mozno by pomohol prikaz offset? no

rooobertek · Napísal **rooobertek**: 02.01.2009 23:11

No skôr som myslel, či potrebuješ o užívatelovi vyťahovať info, ktoré nepotrebuješ. Ty v podstate potrebuješ len zistiť, či sa daný záznam nachádza v DB, nie? To by ti stačilo aj len SELECT 0 FROM... alebo SELECT COUNT(*) FROM...

blackman545 · Napísal **blackman545**: 10.01.2009 15:38

Kód:

$_SESSION['prava'] = $Finish['prava'];

...velmi dobry napad...

Tominator · Napísal **Tominator**: 10.01.2009 15:54

ja používam ešte jednu vec:

Kód:

$sql = mysql_query("SELECT * FROM ...");
if(mysql_num_rows($sql) > 0){
 $array = mysql_fetch_array($sql);
 spracovanie ...
}
else
echo "Si sa asi pozabudol lebo si napísal poriadnu koninu";

blackman545 · Napísal **blackman545**: 11.01.2009 0:31

Citácia:

echo "Si sa asi pozabudol lebo si napísal poriadnu koninu";

...koninu ? skus porozmyslat ty nad tymto:
IF ked vytahujes userdata z databazy ako tvrdis tak to neveris vlastnemu serveru ked to musis vlozit este aj do session ? to pre srandu kralikom ? :lol:

ELSE ked si to ulozil do cookies znamena to ze to niekde spracovavas a teda mi staci najst ten subor...dvojklikom napriklad v opere si zmenit spravne hodnoty cookies a si kde ? pravedepodobne to bude bitove pole alebo retazec :rolleyes:

btw keby si sa zamyslel tak si mohol vytvorit premennu napriklad "tlmcb" a nie "prava" ...to si uz rovno mohol vytvorit premennu "tu_si_mozete_zmenit_pristupove_prava" :-D

P.S. sice som uz videl aj lepsich expertov...

...nebudem robit reklamu ale ked tvojmu pozornemu oku neunikne tak je to stranka zo SSL certifikatom ! (ako profesionali :-D

)

Blackshadow · Napísal **Blackshadow**: 11.01.2009 4:00

ach, co vy tu akoze riesite ?? :lol:

ja by som pouzil tento postup:

tabulka v DB:
dopln si stlpec s pravami usera (admin,user,alebo cisla mozes tiez,1,2), heslo ukladaj ako md5($heslo) (alebo sha1)

uzivatel sa prihlasi:
hladaj v DB meno a heslo, a AK pocet riadkov == 1 (nie>0,ako radil tomi), TAK zapis $_SESSION['iduzivatela'] = $riadok['id'];

uzivatel beha po stranke:
vyber z DB riadok podla $_SESSION['iduzivatela'], ak tam je (pocet riadkov==1), tak si definuj konstantu alebo premennu, napr takto:

Kód:

if($riadok['prava']=='admin') {
  define('admin',true);
} else {
  define('admin',false);
}

a potom tam kde chces admin sekciu:

Kód:

if(admin) {
  //tajna sekcia
} else {
  echo 'nemas prava';
}

a teraz ma zabite, ze pri kazdom nacitani stranky je o 1 dopyt na DB viac.. ehm... ten 1 SELECT, fakt zataz na server a urcite to predlzi nacitavanie stranky aspon o 10 sekund :lol:

blackman545 · Napísal **blackman545**: 11.01.2009 19:59

...sice ides nato dobre ale ani ty nemas pravdu...

btw ta tvoja verzia je este nebezpecnejsia ako ta jeho... :-D

http://www.pcforum.sk/member-id9897.html
=>ked si pozries tento link...koniec koncov tvoj profil...nezda sa ti na nom nieco zvlastne ? :rolleyes:

rooobertek · Napísal **rooobertek**: 12.01.2009 19:11

Ak používate niekto dreamweaver, je tam čosi ako wysiwyg pre PHP. Pár kliknutiami môžete pridať napríklad prihlásenie a zistenie, či je užívateľ prihlásený. Tam je to riešené takýmto spôsobom:
- vytiahnete si z databázy info o užívateľovi Jožko Mrkvička
- v php porovnáte, či Jožko Mrkvička zadal dobré heslo
Je to celkom aj logické keď sa nad tým zamyslíte... No a prihlási ho to jedine v prípade, že to heslo sedí.

Inak zabudnite všetci na md5, to je prekonané.

B.A.X.O · Napísal autor témy **B.A.X.O**: 12.01.2009 19:17

pockat aale takto. ja do tej premennej prava ukladam prava preto aby som na dalsej stranke mohol overit, co je na tom nezabezpecene? alebo ako inak by som mal? do sessions si ukladam veci ako meno a pod aby som to mohol nacitat userovi do profilu

blackman545 · Napísal **blackman545**: 12.01.2009 19:34

...lebo tie prava alebo to idUzivatela ako tvrdi ten druhy si mozem zmenit ako sa mi zapaci a otvorim si tvoju stranku kde to kontrolujes a ejhla uz som admin... :rolleyes:

napriklad:
1. link na profil uzivatela blackshadow je:

Citácia:

http://www.pcforum.sk/member-id9897.html

2. ako on tvrdi bude ukladat do session idUzivatela...ja si idUzivatela v session zmenim na 9897 a ejhla uz som blackshadow...

=>

BlackShadow píše:

uzivatel beha po stranke:
vyber z DB riadok podla $_SESSION['iduzivatela']

P.S. ludia nic s vami aspon zakladne hacky treba poznat alebo si to dat radsej niekomu za peniaze napisat...

suchy · Napísal **suchy**: 12.01.2009 19:44

povies mi ako zmenis hodnoty v session? zmenit si mozes cookies, takze pripada do uvahy ukradnutie relacie, no proti tomu sa da celkom vpohode ochranit. ale mam pocit, ze hodnoty v session menit nemozes.

mylan · Napísal **mylan**: 12.01.2009 20:05

Taktiež sa nechám poučiť, ako ľahko zmeniť údaje v session... :roll:

Pokiaľ pri prihlasovaním použijem session fixation proti ukradnutiu relácia, ako vraví suchy, ako teda niekto zmení session?

rooobertek · Napísal **rooobertek**: 12.01.2009 21:20

Teoreticky sa to dá. Stačí slabšie nastavený hosting.
Relácie sa typicky na linuxe ukladajú do priečinka /tmp. Ak beží apache pod jedným userom pre všetky weby na hostingu, tak si nastavíš v cookies sessionid z konkurenčného webu a sessions si môžeš prezerať a môžeš ich meniť cez svoj web. Tých podmienok musí byť splnených asi viac, ale podstata je takáto. Nevládzem už rozmýšlať, idem spať.

shaggy · Napísal **shaggy**: 12.01.2009 22:22

roobertek - teoreticky, za splnenia 100 podmienok :roll:

Rovnako môžem povedať, že si ktokoľvek môže dať zobraziť heslo k db, čo mám v php, lebo server nie je zabezpečený.

My tu ale hovoríme o tom blackmanovom tvrdení, tak ho vyzývam aby nás naučil základné hacky, aby sme nerobili také školácke chyby :rolleyes:

rooobertek · Napísal **rooobertek**: 13.01.2009 7:32

Jaaaj, to čo písal blackman má byť hack? To som akosi nepochopil. Teraz nastáva otázka, kto tu je lietadlo.

stenley · Napísal **stenley**: 13.01.2009 13:43

myslim, ze odpovede a vysvetlenia sa nedockate

Blackshadow · Napísal **Blackshadow**: 13.01.2009 15:04

blackman545 píše:

...lebo tie prava alebo to idUzivatela ako tvrdi ten druhy si mozem zmenit

ako zmenim session? diki za navod

rooobertek píše:

Teoreticky sa to dá. Stačí slabšie nastavený hosting.
Relácie sa typicky na linuxe ukladajú do priečinka /tmp. Ak beží apache pod jedným userom pre všetky weby na hostingu, tak si nastavíš v cookies sessionid z konkurenčného webu a sessions si môžeš prezerať a môžeš ich meniť cez svoj web. Tých podmienok musí byť splnených asi viac, ale podstata je takáto.

ako tvrdi shaggy, tak musi byt sakra vela tych podmienok a myslim si, ze ziadny hosting (plateny,na nejakej urovni) si nemoze dovolit takuto chybu..

shaggy píše:

ktokoľvek môže dať zobraziť heslo k db, čo mám v php, lebo server nie je zabezpečený.

asi tak

Ked uz nezapisovat do session ani ID uzivatela, tak co ??

Jedine co ma napada je ukladat nejaky hash, ktory ten user ma pri sebe v nejakom stlpci v DB a ten bude vlastne sluzit na jeho identifikaciu.. a este nech je to tazsie, tak navrhujem, nech sa v tej DB prepisuje na novy hash pri kazdom prihlaseni, alebo pri kazdom znovunacitani stranky

blackman545 · Napísal **blackman545**: 13.01.2009 16:48

mylan píše:

Taktiež sa nechám poučiť, ako ľahko zmeniť údaje v session... :roll:

Pokiaľ pri prihlasovaním použijem session fixation proti ukradnutiu relácia, ako vraví suchy, ako teda niekto zmení session?

1. ale on ju tam nema ! :roll:

2. na ukradnutie session a jej zmenu sa nemusim hackovat do db bez tokenu...staci si zistit par udajov a pockat kym sa prihlasi...rusi maju software na vsetko...apache je open-source...

3. fakticky jednemu uzivatelovi dovoluje sa prihlasit aj 90-krat takze to fakticky ani nema ako zistit...=> uid musi byt viazane na session a nie naopak!
...plus ako tvrdi rooobertek... :rolleyes:

Tominator · Napísal **Tominator**: 13.01.2009 17:37

blackman545: tvoje príspevky sú strašne zavádzajúce.

Povedané jednoducho:
1, SESSION nezmeníš, pretože si to uchováva server, uživateľovi sa len necháva Session ID

2, Celá bezpečnosť závisí od bezpečnosti webovej aplikácie, pokiaľ ja pri prihlásení vygeneruj nové session ID tak ty si čakaj ...

3, O tvojích základoch hackingu sa nechám poučiť ....

4, Všetko čo si doteraz napísal boli bájky. Keby to bolo také "jednoduché" tak sú dnes nebezpečné aplikácie ako youtube, gmail a pod. Takže do budúcna sa viac zamysli nad realnosťou a pokiaľ chceš niečo tvrdiť tak to niečoim podlož

mylan · Napísal **mylan**: 13.01.2009 18:13

blackman545 píše:

1. ale on ju tam nema ! :roll:

2. na ukradnutie session a jej zmenu sa nemusim hackovat do db bez tokenu...staci si zistit par udajov a pockat kym sa prihlasi...rusi maju software na vsetko...apache je open-source...

3. fakticky jednemu uzivatelovi dovoluje sa prihlasit aj 90-krat takze to fakticky ani nema ako zistit...=> uid musi byt viazane na session a nie naopak!
...plus ako tvrdi rooobertek... :rolleyes:

Na začiatku si tu tvrdil niečo o tom, že si len zistíš id užívateľa, zmeníš svoje id v session na adminove a voila si admin. Tak sa pýtam ešte raz: ako? Predpokladajme jednoduchú aplikáciu, ktorá pri prihlásení nastavuje session s id užívateľa a podľa toho priraďuje oprávenia. Ďalej predpokladajme, že mám prístup do aplikácie ako redaktor, alebo len ako bežný user(môžem si prehliadať veci, upravovať svoj profil). Admin je len jeden a má id 1, všetci ostatní sú useri. Moje id je napr 69. Ako zmením v session svoje id zo 69 na 1, aby sa zo mňa "stal admin"? Predpokladám ešte, že aplikácia je klasicky zabezpečená tak ako väčšina, používa na ochranu session_regenerate_id(). Ako teda zmením svoje id uložené v session?

Budem rád, ak poskytneš naozaj rozumné vysvetlenia, poučíme sa z toho všetci...

PS: Obecná odpoveď ako "rusi vedia všetko" je síce hodná úškrnu, ale nerieši popisované veci.

Blackshadow · Napísal **Blackshadow**: 13.01.2009 23:15

rusi vedia aj tocit kohutikmi a tym privedu europu pomaly do zahuby, ale zato ja doma to asi nespravim

je jasne, ze session_regenerate_id() sa pouzije, ..
tak co s tym session ? (co znamena: 'Staci si zistit par udajov' <-> o ake udaje sa jedna ?)

rooobertek · Napísal **rooobertek**: 14.01.2009 8:29

blackman, prd vieš o bezpečnosti. Keď budeš mať zmáknuté tie techniky, tak sem čosi píš, teraz tu trepeš iba kraviny od buka do buka.

otazka bezpecnosti

Podobné témy