X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Вопрос программистам
GC_
GC_
Topic Starter сообщение 14.1.2014, 15:48; Ответить: GC_
Сообщение #1


Всем добрый день.

На одном сайте имелась одна не очень защищенная страничка в плане php+mysql, так вот на днях с ней кто-то проводил манипуляции и все они сохранились в mysql. Хотелось бы разобраться, что они означают, для чего делались и могли ли на что-то повлиять на сайте. Примеры:

IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5))/*\'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR\'|\"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2600000,SHA1(0xDEADBEEF)),SLEEP(5)))OR\"*/

IF(SUBSTR(@@version,1,1)<5,BENCHMARK(0,SHA1(0xDEADBEEF)),SLEEP(0))/*\'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(0,SHA1(0xDEADBEEF)),SLEEP(0)))OR\'|\"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(0,SHA1(0xDEADBEEF)),SLEEP(0)))OR\"*/

waitfor delay \'0:0:18.532\' --

*** and (sleep(18.532)+1) limit 1 --

Еще вот такого типа записи:

-1\' or 5=5 or \'108\'=\'108

-1\" or 5=5 or \"51\"=\"51

@@xeJoW


--------------------
В чем сила, Брат?
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
bibika
bibika
сообщение 14.1.2014, 16:01; Ответить: bibika
Сообщение #2


-1\' or 5=5 or \'108\'=\'108


Очень похоже на SQL иньекции. Однозначно сайт поломали и получили доступ к базе данных. Срочно меняйте все пароли.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GC_
GC_
Topic Starter сообщение 14.1.2014, 16:09; Ответить: GC_
Сообщение #3


Почему поломали однозначно? Т.е. эти данные в базу данных без взлома попасть не могли?
PS это типа система комментариев, а эти строчки что я привел в графе текст.


--------------------
В чем сила, Брат?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PaRaDokSs
PaRaDokSs
сообщение 14.1.2014, 16:09; Ответить: PaRaDokSs
Сообщение #4


скриптом айболит проверь есть на сайте бэкдор или нет, а то от смены пассов пользы не будет

кстати, можно просто сайт на подозрительный код проверить

Сообщение отредактировал PaRaDokSs - 14.1.2014, 16:10


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Solonik
Solonik
сообщение 14.1.2014, 16:15; Ответить: Solonik
Сообщение #5


Была попытка SQL инъекции насколько успешно сложно сказать. Вы сами попробовать ввести тоже самое, что и вот человек. Если после ввода увидите ошибку MYSQL или ещё что то. Значит плохо или нашли или ищут уже выход подбирая SQL.

И также пересмотрите эти скрипты это я так понимаю или форма или инпут где это вводится. Для начала поймите насколько успешно были эти действия. И посоветовал заглянуть бы в строчку что там в php скрипте каким образом данные обрабатываются который вводит пользователь.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GC_
GC_
Topic Starter сообщение 14.1.2014, 16:29; Ответить: GC_
Сообщение #6


Спасибо, буду разбираться. Если кто-то еще сможет что-то подсказать - буду благодарен.

Посоветуйте какую-нибудь статью на тему как обезопаситься от инъекций при написании кода, взаимодействующего с БД путем ввода информации пользователями?


--------------------
В чем сила, Брат?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Solonik
Solonik
сообщение 14.1.2014, 16:40; Ответить: Solonik
Сообщение #7


GC_, http://habrahabr.ru/post/148701/ вот посмотрите довольно таки понятно написано всё.
Как вариант использовать подготовленные запросы. Есть конечно и другие способы.

Легче всего функцию написать один раз или метод и потом прогонять строки через неё.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GC_
GC_
Topic Starter сообщение 14.1.2014, 16:48; Ответить: GC_
Сообщение #8


PS несколько строчек (включая последние) попробовал ввести так же, как злоумышленник, никаких ошибок не увидел вроде. Попробую айболитом просканировать.


Коды был такой:

if((preg_match("/^[\'\"]{1,110}$/", $_GET['вводимая_информация'])) && $_GET['вводимая_информация']!="") {
header ("Location: 404.php");
exit;
}

$text = $_GET['вводимая_информация'];
$text = mysql_real_escape_string($text);

И потом заносится код:
таким образом: mysql_real_escape_string($text)

Либо сверяется с уже содержащимся в базе:

таким образом: htmlspecialchars($songer)

не знаю насколько это правильно было написано, защиту от инъекций это мало дает? Или нет?


--------------------
В чем сила, Брат?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
profican
profican
сообщение 14.1.2014, 16:54; Ответить: profican
Сообщение #9


GC_,

а как эти записи были обнаружены? Для себя спрашиваю... facepalm.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GC_
GC_
Topic Starter сообщение 14.1.2014, 17:05; Ответить: GC_
Сообщение #10


Эта информация, которая вводится - она в определенном рейтинги используется. Зашел в рейтинг - увидел левую информацию.

Хорошо было бы найти человека, который объяснил смысл каждой из инъекций, т.е. кода сохраненного...


--------------------
В чем сила, Брат?


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыВопрос по аудиту сайта: Ресурсы с кодом состояния 4xx, Битые ссылки
4 dron2 112 Вчера, 19:09
автор: Trumper
Открытая тема (нет новых ответов) Вопрос по кнопке с телефоном
Rfr изменить код и сделать ссылку tel:
2 KM_ 1132 3.5.2021, 14:13
автор: Deort
Открытая тема (нет новых ответов) Вопрос о статьях из Вебархива.
23 kuz999 1615 6.4.2021, 20:22
автор: NormanSky
Открытая тема (нет новых ответов) Вопрос по индексу скорости работы сайта в Вебмастере
9 Kiloan_Frost 690 24.3.2021, 14:58
автор: serg5777
Открытая тема (нет новых ответов) WordPress рассматривает вопрос отказа от поддержки IE 11💀
11 PostBrigada 1003 23.3.2021, 10:43
автор: tedder


 



RSS Текстовая версия Сейчас: 13.5.2021, 5:02
Дизайн