|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Keztutis
HV kasutaja
liitunud: 05.06.2009
|
25.03.2011 19:30:02
Login script |
|
|
kasutan seda login scripti:
http://www.phpeasystep.com/phptu/6.html
Kuid probleem on selles et kui kasutaja sisestab oma username ja passwordi ja kui need peaksid valed olema siis ta suunab ta lehele checklogin.php ja tuleb kiri: Wrong Username or Password, kuid mul oleks vaja et see Wrong Username or Password kiri tuleks main_login.php lehele(üles/alla andmete sisestamis lahtrile) ja ei suunaks sinna checklogin.php lehele.
Siis teine mure on selline, et kui mul on need kasutajate andmed kahes erinevas andmebaasis, siis kuidas ma saak selle teise andmebaasi info kah sinna lisada, et ta kontrolliks ka sealt andmebaasis kasutajate nimesid ja paroole.
Ja kolmas mure on selline, et kas sellele login süsteemile on kuidagi imelihtsalt võimalik panna külhe logi süsteemi
nimelt siis kui keegi sisse logib, siis süsteem kirjutab ta nime automaatselt koos kuupärva ja kella ajaga üles kuhugi txt filesse kasvõi.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
 |
keevitaja
AM 10 aastat
liitunud: 05.11.2001
|
|
26.03.2011 00:14:34
|
|
|
echo "Wrong Username or Password";
selle asemel pead headeriga suunama siis main_login.php ning andma kaasa mingi väärtuse, et main_login.php saaks kontrollida, kas teada kuvada või mitte.
sa ei tea php-st midagi?
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks! |
|
| Kommentaarid: 51 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
3 :: |
40 |
|
| tagasi üles |
|
|
Keztutis
HV kasutaja
liitunud: 05.06.2009
|
|
26.03.2011 00:22:12
|
|
|
Ega eriti ei tea jah :S
Ma ei oska seda sealt niimoodi ümber suunata
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
keevitaja
AM 10 aastat
liitunud: 05.11.2001
|
|
26.03.2011 14:55:30
|
|
|
checklogin.php failis asenda rida echo "Wrong Username or Password";
| header('Location: main_login.php?fail=true'); |
main_login.php failis lisa kas siis üles, alla või kuhugi keskele järgmine:
<?php
if($_GET['fail'] == 'true') {
echo 'Vale kasutajanimi või parool';
}
?> |
nende teiste sinu soovide lahendamine võtaks juba natukene rohkem aega. Soovitan teha algust PHP õppimisega. HV programmerimise foorum on sulle igati abiks!
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks! |
|
| Kommentaarid: 51 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
3 :: |
40 |
|
| tagasi üles |
|
|
Keztutis
HV kasutaja
liitunud: 05.06.2009
|
|
26.03.2011 19:54:22
|
|
|
tegin juba nii:
$viga="Wrong Username or Password";
header("location:main_login.php?viga=".$viga); |
<?php
if(isset($_GET['viga'])){
echo '<div id="viga">'.$_GET['viga'].'</div>';
}
?> |
Ja teised probleemid on kah lahendatud
teema lukku.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
keevitaja
AM 10 aastat
liitunud: 05.11.2001
|
|
26.03.2011 20:00:50
|
|
|
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks! |
|
| Kommentaarid: 51 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
3 :: |
40 |
|
| tagasi üles |
|
|
karu
HV kasutaja
liitunud: 08.08.2002
|
|
11.04.2011 13:35:52
|
|
|
| w2zzaaa kirjutas: |
<?php
if(isset($_GET['viga'])){
echo '<div id="viga">'.$_GET['viga'].'</div>';
}
?> |
Ja teised probleemid on kah lahendatud
teema lukku. |
Sa just tekitasid turvaaugu. igasugune kasutajalt tulnud info peab olema kontrollitud ja sama info uuesti näitamine peab olema töödeldud sedasi, et see HTML koodi ei muudaks.
Esiteks Sa ei kontrolli mis on 'viga' väärtus on ja teiseks sa näitad sama infot muutmata kujul kasutaja ekraanil. Kui keegi postitab lingi, milles 'viga' väärtus on näiteks javascript faili asukoht (tavaline XSS exploit), siis võib kasutaja oma nime ja parooliga hüvasti jätta.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
11.04.2011 17:58:50
|
|
|
Oot, kuidas see JS seal kasutajanime kustutamisega hakkama saaks? Sellest saan aru, et sealtkaudu saab JS faili käivitada (seda võid tegelikult igal lehel ka otse aadressribalt käivitada) kuid kuidas see JS seal andmebaasile ligi saab?
_________________
 |
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
Fukiku
Kreisi kasutaja
liitunud: 06.11.2003
|
|
11.04.2011 19:02:12
|
|
|
| andrusny kirjutas: |
| Oot, kuidas see JS seal kasutajanime kustutamisega hakkama saaks? Sellest saan aru, et sealtkaudu saab JS faili käivitada (seda võid tegelikult igal lehel ka otse aadressribalt käivitada) kuid kuidas see JS seal andmebaasile ligi saab? |
Pigem vast viidatud võimalusele kasutaja poolt sisestatavaid andmeid JS abil kolmandatele saitidele saata ja sedapidi kurjalt ära kasutada.
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist. |
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
11.04.2011 19:24:26
|
|
|
| tsitaat: |
| JS abil kolmandatele saitidele saata |
Et, kui ma paneks sinna mingi kavala scripti, siis milline on see teave, mida kolmas sait saab? Muide kasutaja andmeid ju enam sel hetkel pole seal lehel, isegi mitte $_POST väärtuses, kuna tehtud ju header suunamine, ainukesed andmedmis tal sealt võtta on hetkel see string sisuga Viga, kui sedagi, kuna selle asemel ta ju paneb JS
Ühtegi võõrast kasutajanime ta ju ka sealt andmebaasist kuidagi kätte ei tohiks saada kui ainult enda oma, ta pole ju kellegi teise konto peal vid ikka oma kasutajanime sisestamas, kui on kellegi teise oma, siis selle pidi ta juba ennem kusagilt saama.
Üldiselt vist väga kahtlase kasuteguriga auk selle piraadi jaoks. Pigem saab ta oma arvutis lehe kujundust või sisu muuta A´la paneb headerisse teise pildi ja vaatab siis seda lehte (seda ka ainult ise).
_________________
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
Fukiku
Kreisi kasutaja
liitunud: 06.11.2003
|
|
11.04.2011 22:22:55
|
|
|
Hmm, ma näen siin siiski täiesti reaalset rünnet. GET parameetri kaudu me võime hetkel saata sisse mida iganes. Saadad sisse <script> tagi, mis tõmbab käima sinu lehel oleva skripti, mis mudib olemasolevat lehte, kustutades sealt näiteks ära veateate, et see kasutajat ei eksitaks ja muudab ära sisselogimise formi action URL-i. Pahaaimamatule kasutajale söödad selle lehe koos sobiva GET parameetriga ette mõne URL-i lühendamise teenuse kaudu ja kogud paroole oma lehel, kuhu action nüüd suunab.
On mu mõttekäigus mõni hiiglaslik loogikaviga?
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist. |
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
11.04.2011 22:50:49
|
|
|
Ma ei saa ikkagi aru, kui sina paned sinna get päringusse mingi scripti, kuidas teine kasutaja teses arvutis sinu scriptiga lehte näeb? Seda mida see script toodab näed sa ju ainult ise. Selleks, et teha mingi pette leht kusagil URL muutvas serveris pole ju üldse mingit scripti vaja lisada piisab ju lihtsalt uuest lehest. kuigi siis tuleks ikkagi kuidagi sellele lehele kasutaja suunata.
Oeh ma vist pole eriti kuri geenius ei jaga seda mõtet eriti välja.
_________________
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
karu
HV kasutaja
liitunud: 08.08.2002
|
|
12.04.2011 09:30:45
|
|
|
| andrusny kirjutas: |
| Ma ei saa ikkagi aru, kui sina paned sinna get päringusse mingi scripti, kuidas teine kasutaja teses arvutis sinu scriptiga lehte näeb? Seda mida see script toodab näed sa ju ainult ise. |
Õige on "See mida see script toodab näeb inimene kes avab lingi". Script aga näppab kasutaja nime/parooli või muudab lehte veelgi ja tekitab sinna lisa väljasid või veel hullem võtab üle kogu linkidel klikkimise ja terve leht kaasa arvatud peale sisselogimist on scripti kontrolli all. Võib ka lihtsam olla ja script pakub 'Eriti äge programm.exe' allalaadimist 'turvaliselt' lehelt.
Ei aita siin ka "aga kes see ikka minu lehte murrab" vabandus. Selline skript on ülim saast.
PS! header suunamine on tehtud 'checklogin.php' vm skriptis, link aga otse main_login.php peale.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Fukiku
Kreisi kasutaja
liitunud: 06.11.2003
|
|
12.04.2011 10:38:15
|
|
|
Kusjuures, sarnase, kuid potentsiaalselt veel hullema turvaaugu reaalset ärakasutamist nägin eelmise nädalal oma silmaga. Tol juhtumil saadeti kasutaja sisend ilma puhastamata andmebaasi ja kuvati järgmisel lehel samamoodi puhastamata kujul välja. Tegemist oli üritusele registreerumise ja osalejate nimekirjadega siis.
Tulemus: ühed kavalpead panid oma võistkonna nimele otsa <script> tagi ja edaspidi said kõik osalejate nimekirja vaatajad javascript alerti kaudu teada, et "<tundmatuks jääda sooviv võistkond> osalevad ka!".
Mõttekäik teemal, mida kõike selle süütu nalja asemel oleks võinud teha, jäägu kasutajale koduülesandeks. Kategooria on iseenesest sama nagu siin eespool kirjeldatud turvaaugus.
(Aga võibolla oleks õnnestunud seal samal lehel ka SQL injectionit teha, kui nad juba sisendi otse baasi pritsisid.. aga see on juba järgmine teema)
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist. |
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
12.04.2011 12:17:20
|
|
|
Põhimõtteliselt on siis idee, et levitad sellist linki
| kodulehtleht.php?viga=<script>saada andmed mulle</script> |
Aga kuidas sa saad selle lingi sinna kodulehele koduleht.php ?
Kui see on suvalises kohas internetis, miks peaks inimene, kes on reganud koduleht.php oma lehele logima suvalisest kohast?
(ma ei vaidle vastu see on põhimõteliselt võimalik turva risk, kuid ma lihtsalt olen huvitatud, kuidas asi toimiks)
_________________
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
karu
HV kasutaja
liitunud: 08.08.2002
|
|
12.04.2011 13:23:15
|
|
|
| andrusny kirjutas: |
Põhimõtteliselt on siis idee, et levitad sellist linki
| koduleht.php?viga=<script>saada andmed mulle</script> |
Aga kuidas sa saad selle lingi sinna kodulehele koduleht.php ?
|
Lingi aadress on jah umbes selline. Kuna 'viga' muutuja sisu ei ole koduleht.php skripti poolt kontrollitud vaid võetakse 'netist' ja näidatakse muutmata kujul browseri ekraanil, siis saabki (pahatahtlik) kolmas osapool veebi lehe töötamist kasutaja browseris kontrollida. Kõik toimub kliendi pool browseris.
| tsitaat: |
Kui see on suvalises kohas internetis, miks peaks inimene, kes on reganud koduleht.php oma lehele logima suvalisest kohast?
(ma ei vaidle vastu see on põhimõteliselt võimalik turva risk, kuid ma lihtsalt olen huvitatud, kuidas asi toimiks) |
jah miks peaks aga ikka tehakse. Samas, kui tuleb email pealtnäha õigest kohast sellise lingiga näiteks oma parool ära vahetada...
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Fukiku
Kreisi kasutaja
liitunud: 06.11.2003
|
|
12.04.2011 13:28:28
|
|
|
Kogu antud temaatika juures ei ole sugugi mitte vähe oluline hariduslik külg asja juures. Teemaalgataja võiks ja peaks aru saama, mida ta valesti tegi, et ei kinnistuks halvad ja antud juhul isegi ohtlikud harjumused, mis võivad leida tee juba järgmisesse kohta, kus tagajärjed on hullemad. Konkreetselt täpselt hetkel arutuse all oleva koodi ärakasutamise võimalikkuse nüansid on selle juures teisejärgulised minu arvates.
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist. |
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
12.04.2011 17:42:21
|
|
|
Kui ennem kuvamist teha strip_tags() siis peaks vist turvarisk ellimineeitud olema?
_________________
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
12.04.2011 18:03:14
|
|
|
| Milleks üldse vaja errorit kliendi poolt tagasi uuesti kliendile saata?
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
keevitaja
AM 10 aastat
liitunud: 05.11.2001
|
|
12.04.2011 19:22:34
|
|
|
ega ei olegi. w2zzaaa lihtsalt õpib php-d.
see exploitimise jutt on lisaks siia tekkinud
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks! |
|
| Kommentaarid: 51 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
3 :: |
40 |
|
| tagasi üles |
|
|
Keztutis
HV kasutaja
liitunud: 05.06.2009
|
|
12.04.2011 23:42:02
|
|
|
| keevitaja kirjutas: |
checklogin.php failis asenda rida echo "Wrong Username or Password";
| header('Location: main_login.php?fail=true'); |
main_login.php failis lisa kas siis üles, alla või kuhugi keskele järgmine:
<?php
if($_GET['fail'] == 'true') {
echo 'Vale kasutajanimi või parool';
}
?> |
nende teiste sinu soovide lahendamine võtaks juba natukene rohkem aega. Soovitan teha algust PHP õppimisega. HV programmerimise foorum on sulle igati abiks! |
kas ma peaks siis siiski seda kasutama?
Ausaltöeldes, siis ma eriti täpselt aru ei saanud, et milles see turvarist siis siiski väljendub..rohkem infot palun 
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
keevitaja
AM 10 aastat
liitunud: 05.11.2001
|
|
13.04.2011 00:24:18
|
|
|
selline exploit on sinu koodis:
| http://keevitaja.com/stuff/waza.php?viga=<script>alert('see on test');</script> |
_________________
Hinnavaatlus ei ole koht arvamuse avaldamiseks! |
|
| Kommentaarid: 51 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
3 :: |
40 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
13.04.2011 01:42:20
|
|
|
| Sellest tulenevalt saad siis igast jaburdusi sinna koodi välja mõelda millega kasutajale halba teha või temalt ligipääsuandmeid välja petta (imiteerides näiteks sisselogimislahtrit nii et kasutaja arvab et sinu leht küsib aga tegelikult suunatakse andmed mujale).
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
13.04.2011 07:30:41
|
|
|
Tema viimases, uues koodis seda enam pole.
_________________
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
Keztutis
HV kasutaja
liitunud: 05.06.2009
|
|
13.04.2011 17:34:51
|
|
|
| mikk36 kirjutas: |
| Sellest tulenevalt saad siis igast jaburdusi sinna koodi välja mõelda millega kasutajale halba teha või temalt ligipääsuandmeid välja petta (imiteerides näiteks sisselogimislahtrit nii et kasutaja arvab et sinu leht küsib aga tegelikult suunatakse andmed mujale). |
Seda saab ju iga lehega nii teha
Vaadake kui palju näiteks Steam kasutajaid nii varastatakse et tehakse steami community sarnane leht ja palutakse tal sisse logida.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
