#26 2012-07-20 18:19:47

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

Tak který jste našel?
A chyby...


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#27 2012-07-20 18:37:05

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

no, chyby žádný, ale zabezpečil jsem antet.php tak, že by se do něho neměl nikdo dostat

Offline

#28 2012-07-20 18:58:51

l564
Člen
Registrován: 2011-03-12
Příspěvky: 292

Re: reklama

Tak tento soubor to nebyl.

Offline

#29 2012-07-20 19:00:41

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

Nehledejte chyby, ale bezpečnostní díry...
Našel?

Pokud Vám l564 napsal z veřejně dostupných, zkuste si řádně překontrolovat soubory:
login_.php
sit.php
register_.php
odeslano.php

Já jsem je netestoval.


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#30 2012-07-20 21:08:07

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

já fakt nevím, nemohli by jste mi to napsat, kde je ta chyba?
díky

Offline

#31 2012-07-20 21:09:52

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

pošli mi ty soubory na e-mail, podívám se jestli to je ono...


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#32 2012-07-20 21:26:35

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

máte to na  <!-- e --><a href="mailto:prolamy@email.cz">prolamy@email.cz</a><!-- e -->

Offline

#33 2012-07-20 23:22:42

l564
Člen
Registrován: 2011-03-12
Příspěvky: 292

Re: reklama

kksmirice napsal:

Nehledejte chyby, ale bezpečnostní díry...
Našel?

Pokud Vám l564 napsal z veřejně dostupných, zkuste si řádně překontrolovat soubory:
login_.php
sit.php
register_.php
odeslano.php

Já jsem je netestoval.

Ani jeden z těchto to není!

Offline

#34 2012-07-21 07:15:27

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

Nemůžeš mi prosím tě napsat, ve který souborech je chyba?
díky

Offline

#35 2012-07-21 09:44:54

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

kksmirice napsal:

Zkuste si pročíst tento článek a pak snad soubor objevíte i sám...

kksmirice napsal:

Hledejte soubory, ve kterých zpracováváte proměnné předané POST nebo GET.

Dával jsem Vám odkaz k přečtení... Ten také něco napoví...

To není jedna chyba, tedy vlastně chyba je celý web.  yikes
Je prostě špatně napsaný... z bezpečnostního hlediska...

Co se asi tak může stát pokud použiji Váš kód:

 $_SESSION["user"]=login($_POST["name"], md5($_POST["pass"]));
...

//funkce login:
function login($name, $pass)
{
...
 $query="select * from users where name='".$name."' and pass='".$pass."' and level>0";
 $result=mysql_query($query, $db_id);
...
}

A tímto způsobem máte "ošetřen" celý web. Nejedná se jen o tuto jednu bezpečnostní díru, celý web je jedna děravá dálnice pro hackery...

Říkají Vám něco příkazy mysql_real_escape_string() nebo htmlspecialchars()


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#36 2012-07-21 10:13:39

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

Já jsem tu hru neprogramovat, já jsem ji pouze stáhnul, upravil a přeložil.
Jak to mam zpravit?

Mam tam všude dat míst  mysql_real toto:  mysql_real_escape_string?

A ještě jedna věc, můžete mi vysvětlit, tak díky blbému kódu se dostal až do souboru, kde je heslo do databáze?

Offline

#37 2012-07-21 10:17:07

l564
Člen
Registrován: 2011-03-12
Příspěvky: 292

Re: reklama

Ano, string je vlastně řetězec.

Databáze je mocný nástroj a pokud je tam chyba, tak je možno dělat i zpětné příkazy, více se dočtete o MySQL Inject Hacking

Je to tento soubor http://morana.8u.cz/profile_view.php?id='

Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/users/michaln/morana.8u.cz/web/func.php on line 795 Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/users/michaln/morana.8u.cz/web/func.php on line 1374 Warning: mysql_fetch_row() expects parameter 1 to be resource, boolean given in /home/users/michaln/morana.8u.cz/web/func.php on line 492 

Přes něho jsem dumpnul celý účet na vášem mysql

Vlstně to dělejte takto

$promena = mysql_real_escape_string(htmlspecialchars($_POST['nejaka promena']));

Offline

#38 2012-07-21 10:24:21

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

Neošetřené vstupní proměnné ošetřit pomocí:
pro textové vstupy:

$data = mysql_real_escape_string($POST[data]);

pro číselné vstupy:

$data = (int)$POST[data];

a dále již pracovat jen s touto proměnnou a nepoužívat další čtení pomocí $_POST

Pro výstup proměnné použít:

$text = htmlspecialchars($_POST[text]);
echo $text;

Obecně musíte předpokládat, že do vstupní proměnné od uživatele se může dostat cokoliv!!!

EDIT


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#39 2012-07-21 10:26:53

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

Aha, takže to ošetřím tak, že místo $data = mysql_real_escape_string($POST[data]); dám $text = htmlspecialchars($POST[text]);
echo $text;???

Offline

#40 2012-07-21 10:29:02

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

nepochopil...

Pročti si velice pozorně odkazy k jednotlivým příkazům...

kksmirice napsal:

Říkají Vám něco příkazy mysql_real_escape_string() nebo htmlspecialchars()

Pokud umíš použít google, pak snadno najdeš např.: tento český text. Vážně si to pozorně přečti!!!


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#41 2012-07-21 10:47:52

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

no, pročetl jsem si to, ale nechápu to. nemůžeš mi napsat, co kam mam dat (co místo čeho)?

Offline

#42 2012-07-21 10:57:38

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

proměnné, které vstupují do databáze a dále se s nimi pracuje v dotazech ošetřit na vstupu:

//predpokladam textovy vstup
$promenna=mysql_real_escape_string($promenna);  // obecne, napr. $_POST[promenna]

//predpokladam ciselny vstup
$promenna=(int)$promenna;  // obecne, napr. $_POST[promenna]

pro výpis - výstup na obrazovku - použít:

$promenna=htmlspecials($promenna);
echo $promenna;

Nevím už jak jinat Ti to po několikáté napsat.... Pokud tomu nerozumíš, tak si najdi lépe zabezpečený kód a nebo musíš počítat s tím, že Ti to někdo hackne a vymaže třeba celý web a nebo získá kontrolu nad celým Tvým účtem!!!


@l564:
Do pr...e Ty jsi měl pravdu  lol  lol  lol


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#43 2012-07-21 11:04:47

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

Můžeš mě to napsat takto:

místo tohoto:

něco

vlož toto:

    něco

díky

Offline

#44 2012-07-21 11:13:10

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

Těžko se dává konkrétní příklad, když je kompletně celý zdroják na přepis... lol
Ale pokusím se alespoň nastínit....
např:

<?php include "antet.php"; include "func.php";
if (isset($_POST["name"], $_POST["pass"]))
{
 $_POST["name"]=clean($_POST["name"]); $_POST["pass"]=clean($_POST["pass"]);
 $_SESSION["user"]=login($_POST["name"], md5($_POST["pass"]));
...

neřeším includované soubory...

<?php
include "antet.php"; include "func.php";

$name=mysql_escape_real_string($_POST["name"]);
$pass=mysql_escape_real_string($_POST["pass"]);

if (isset($name, $pass))
{
 $_POST["name"]=clean($_POST["name"]); $_POST["pass"]=clean($_POST["pass"]);

 $_SESSION["user"]=login($name, md5($pass));
...

a to vše v celém zdrojáku. Prostě a jednoduše - ošetřit vstupní proměnné - provést bezpečnostní korekci.


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#45 2012-07-21 11:16:03

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

Ok, to mi bude snad stačit.
Děkuji za veškerou pomoc.

michaln

Offline

#46 2012-07-21 12:22:03

l564
Člen
Registrován: 2011-03-12
Příspěvky: 292

Re: reklama

Není zač, ale jelikož všichni vedi jaky soubor to je tak byt vami tak si ho rychle zabezpečte.

Offline

#47 2012-07-21 12:46:12

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

myslíš, že by jsi my s tím mohl moc?

Offline

#48 2012-07-21 15:33:32

kksmirice
Endora rádce
Místo: Vrchovnice
Registrován: 2011-11-20
Příspěvky: 6,023
Web

Re: reklama

a co za to?


1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!

stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM

Problémy spojené s provozem služeb Endora, řešte na tomto fóru.

Offline

#49 2012-07-21 22:00:53

michaln
Endora uživatel
Registrován: 2011-10-06
Příspěvky: 37

Re: reklama

nevím, co chcete?

Offline

#50 2012-07-21 23:08:54

JF
Endora rádce
Místo: ....nice u Plzně
Registrován: 2010-06-22
Příspěvky: 11,941

Re: reklama

Eurá, alebo české koruny  ;o)


Ján Fačkovec - Endora.cz by Webglobe
Email, Web, Webadmin, Webmail, Nápověda, Ceník

Offline

Zápatí

Založeno na FluxBB | CZ a SK