Sikkerhedshul, men kan ikke finde det - hjælp!

nu er det jo sværtr at sige uden at have set login scriptet

men en oplagt mulighed var jo noget SQL injection

Mht at skrive i andres navne:

<input type="hidden" value="navn på bruger" name="brugernavn">

Hvis identiteten af en bruger afhænger af dette hidden-form-input, så er det faktisk ret nemt. Du bør nok bruge det id du gemmer i brugerens session ved login.

#k_soren..

Det er ikke det, det hul har jeg nemlig rettet, således at det kun virker, når man kommer fra ENET's forum-område. På den måde kan man jo ikke ændre det, så det burde være udelukket.

Han fortæller at sitet står pivåbent. Og at han kan ændre alle folks data.
Forstår ikke hvordan, kan det have noget at gøre med cookien?

/SkipperBent

Personen ændrer også på signaturen i selve "profilen". Hvilket man ikke kan gøre med de hidden values..

Men har fjernet det, så brugernavnet er det samme, som det der er gemt i cookien..

1) Du kan ikke stole på HTTP_REFERER. Den nemmeste måde at omgå den på, er via java-script-injection

2) Ja din cookie er også dit problem. Du har "auth=fork!brugernavn". Den kan jeg så ændre til som jeg har lyst

Brug ikke cookies til brugernavne.. cookies kan redigeres..

Jeg tror at arne_v har ret, i det han skrive i 21/08-2005 16:43:25.

Hvis du ikke forstår hvad han mener, spørg.

/theSurfer

Så skrot de der cookies, og brug session i stedet for

Hey, er rrigtig glade for jeres input. Men er på begynderstadiet i php, så har brug for mere information.

Hvad kan jeg gøre for at forhindre det? Bruge noget helt andet end cookie?

#Ksoren :
Hvordan går jeg igang med at bruge session... det er helt ukendt område.

evt. nogen der har en guide ller lignened?

Hej

prøv at skrive:

'or''='

som både brugernavn og passsword og se hvad der sker!

#antikat,

hvad mener du?
Hvor skal jeg skrive det henne, og hvad gør det?

i dit login felt...

du skal have lave sådan at man ikke kan skrive special tegn som "< > ' / \ " i dit login script

Vil det gøre, at man ikke kan snyde?

Og hvor ville du skrive det her?


<?php

$stylesheet = '<link href="http://www.enetonline.dk/style.css" rel="stylesheet" type="text/css">';


session_start();

echo $stylesheet;
include 'config.php';

$connection = @mysql_connect($hostname, $user, $pass)
or die(mysql_error());
$dbs = @mysql_select_db($database, $connection) or
die(mysql_error());

$sql = "SELECT * FROM $userstable WHERE username = '$_POST[username]' AND password = '$_POST[password]'";
$result = @mysql_query($sql,$connection) or die(mysql_error());
$num = @mysql_num_rows($result);

if($_GET['bruger'] == logaf) {
session_destroy();
header ("Location: http://www.enetonline.dk/login/index.php?action=signout");
}




if ($num != 0) {
$cookie_name = "auth";
$cookie_value = "fook!$_POST[username]";
$cookie_expire = "0";
$cookie_domain = $domain;

setcookie($cookie_name, $cookie_value, $cookie_expire, "/", $cookie_domain, 0);
$_SESSION['online'] = TRUE;




}

ob_start();
if(isset($_SESSION['online']))
{
$stylesheet = "<style>
.knap
{
font-face: tahoma;
font-size: 8pt;
display: block;
height: 15px;
color: black;
border-style: solid;
border-color: black;
border-width: 0;
}
.knap:hover
{
font-family: tahoma;
font-size: 11px;
text-decoration: none;
color: #FFFFFF;
height: 13px;
border-width: 1px;
background-position: 50%;
background-image: url('http://www.enetonline.dk/index.phptemplates/news_bg.gif');
}
</style>";
echo $stylesheet;

echo "<body bgcolor=\"#F2F2F2\"><table cellpadding=\"0\" cellspacing=\"0\" height=\"20\" width=\"100%\" align=\"left\">
    <tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/nyheds_poster.php?side=opret>Opret nyhed</a></td><tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/nyheds_poster.php?side=alle>Se nyhederne</a></td><tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/community.php>Community</a></td><tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/members.php>Se alle medlemmer</a></td><tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/profile.php>Ændre din profil</a></td><tr>
        <td><br><br></td><tr>
        <td height=\"30\" width=\"16%\" class=\"knap\">
        <a class=\"knap\" target=_top href=http://www.enetonline.dk/login/login_hojremenu.php?bruger=logaf>Log ud</a> </td><tr>
    </tr>
</table>";
die;
ob_end();

}
else
{
echo "<form action=\"http://www.enetonline.dk/login/login_hojremenu.php\" method=\"POST\">";
echo "&nbsp;&nbsp;Brugernavn: <br>&nbsp;&nbsp;<input type=\"text\" name=\"username\" size=\"20\" style=\"font-size: 8pt; font-family: Tahoma\"><br>";
echo "&nbsp;&nbsp;Password:  <br>&nbsp;&nbsp;<input type=\"password\" name=\"password\" size=\"20\" style=\"font-size: 8pt; font-family: Tahoma\"><br>";
echo "<br>&nbsp;&nbsp;<input type=\"submit\" value=\"Login!\" style=\"font-size: 8pt; font-family: Tahoma\">";
echo "</form>";
echo "• <a target=_top href=\"http://www.enetonline.dk/login/register.php\">Opret konto</a>";
echo "<br> • <a target=_top href=\"http://www.enetonline.dk/login/reset.php\">Glemt bruger & password</a>";
echo "<br> • <a target=_top href=\"http://www.enetonline.dk/login/passwordreset.php?step=1\">Nulstil dit password!</a></font><br><br>";
}



?><body bgcolor="#F2F2F2">

Du må aldrig bruge kode som:

username = '$_POST[username]' AND password = '$_POST[password]'"

!!!

Du kan logge ind, med f.eks.
brugernavn: skipperbent
kodeord: ' or 1 = 1 or '' = '

Så kommer der til at stå:

username = 'skipperbent' AND password = '' or 1 = 1 or '' = ''"

Hvilket jo passer..

Så man skal kun kende brugernavnet! - Det er sådan "hackeren" gør det..

/theSurfer

Mange tak thesurfer, men hvad skal jeg gøre for, at han ikke bruger denne metode?

Hvor skal jeg placere "'or''='"

Antag du skriver som brugernavn: skipperbent'#

så kommer sql-sætningen til at hedde:

SELECT * FROM $userstable WHERE username = 'skipperbent'#' AND password = 'xx'

så vil den blankt ignorere passwordet, og logge mig ind som skipperbent.

Du skal altid erstatte ' tegn med dobbelt ''. eller "\'"..

Der er vist noget PHP-kode der automatisk fixer det.. kender det ikke lige, da jeg ikke programmere i PHP..

/theSurfer

# angiver en kommentar i mysql. Alt hvad der står efter bliver ignoreret.

$username = addslashes($_POST['username']);
$password = addslashes($_POST['password']);

$sql = "SELECT * FROM $userstable WHERE username = '$username' AND password = '$password'";

så er du beskyttet mod sql injection ved login. Der ligger nogle artikler i artikelsektionen  som omhandler dette problem

Jeg takker mange gange..

Men hvis jeg f.eks bruger #KSOREN's forslag, så er jeg beskyttet imod SQL injection som omfatter, at han kan logge ind med f.eks min konto (skipperbent.)?

Ja, mon alle konti.

/theSurfer

mon = mod

/theSurfer

Mange tak.. hvordan kan ejg give jer jeres velfortjente point???
Shit mand jeg er glad for jeres hjælp!!

Men du er nødt til at læse op på emnet. Alle steder hvor du sammensætter en sql-sætning, med input fra brugeren, er du sårbar, hvis du ikke validerer inputtet.

Og sessions. Selv med beskyttelse mod sql injection, så er du pivåben, når du bruger cookies. Google: php sessions
giver et par artikler om emnet

Så jeg burde droppe mine cookies, og bruge php-sessions?

Gælder Sql-injection også hvor jeg insætter sql ?

SQL injection gælder alle steder, hvor man bruger SQL..

/theSurfer

Ok.. jeg takker, er der flere en antikat der vil have point?

thesurfer og ksoren burde da ihvertfald

der er ingen der beder om point?

giv dem lige lidt tid

måske sidder de og søndags hygger med familien

Jeg var lige inde og se "Skeleton Key" og "The Island".. "Skeleton Key" er god, og kan klart anbefales.. "The Island" er ok, men ikke helt vild god.. lidt af en tøse-film, med sfx.. faktisk lidt ligesom "Batman Begins".. :-)

- Svar :-)

/theSurfer

HEHE

Sådan der..  nice one the surfer :P