Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Specifično hakovanje baze

[es] :: PHP :: PHP za početnike :: Specifično hakovanje baze

[ Pregleda: 2799 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

5h0ck
Beograd

Član broj: 14896
Poruke: 316
..8.252.195.static.beotel.net.



+1 Profil

icon Specifično hakovanje baze25.08.2009. u 11:02 - pre 127 meseci
Danas (ili sinoć) sam imao hakovanje baze na jednom od sajtova koje radim. To je drugi napad na taj sajt, koji je u stvari ništa više do prezentacija delatnosti tog preduzeća. Sajt koristi moju administraciju čija je svaka strana zaštićena, odnosno proverava da li postoji kreirana sesija za upisane korisnike...

Da je neko provalio u admin, mislim da bi napravio ili već štetu ili drugačiju...
Ovako je skoro svaki prvi upis bio promenjen sa hakerskim, naravno vulgarnimm, potpisom...
I koliko sam primetio - neka druga polja su takođe "oštećena"

E, sada mene zanima da li je nekome poznat ovaj napad i da li se na osnovu ovoga što sam izneo može zaključiti na koji način dolazi do hakovanja.

Inače, hakeri su ostavili i srspku web adresu (srpski hakerski sajt), ali ne bi (još) pomenuo ime.

Hvala
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 12:46 - pre 127 meseci
Nesto od ulaznih podataka nisi filtrirao pa preko url-a proslijede SQL upit (SQL injection)... Ili imas neki propust u aplikaciji kojim preuzmu admin privilegije

Ako si ti pisao aplikaciju ubaci neko logovanje pa prati sta se desava




 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15191
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2313 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 12:58 - pre 127 meseci
ako su ti promenili samo bazu a nisu dirali fajlove ... tj nisu se potpisali na html - tarla ti je dao odgovor .. rec je o
http://woolie.co.uk/2007/01/prevent-sql-injections-with-php/
http://www.codeproject.com/KB/database/SqlInjectionAttacks.aspx
http://www.tech-evangelist.com...eventing-sql-injection-attack/
http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php

 
Odgovor na temu

5h0ck
Beograd

Član broj: 14896
Poruke: 316
..8.252.195.static.beotel.net.



+1 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 13:16 - pre 127 meseci
Hvala na brzim odgovorima!

Mislim da sam skontao u čemu grešim:

WHERE id = 5

A trebalo bi

WHERE id = '5'

?
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 13:29 - pre 127 meseci
Ni to nije rjesenje

Pogledaj linkove koje je Bogdan postavio i bice ti jasnije



 
Odgovor na temu

Mister_rap
SE at Viacom

Član broj: 8822
Poruke: 2540
85.94.125.*

Jabber: mister_rap@jabber.com


+21 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 14:27 - pre 127 meseci
@5h0ck

Ovo ti je php related problem.
Ukratko moras da izvrsis filtriranje parametra koji kupis.

Ako imas taj id konkretno, kazes ako je parametar int, izvrsi upit, ako nije prikazi error stranu ili redirektuj korisnika.
Dakle mysql nema veze sa tim.
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15191
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2313 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 15:39 - pre 127 meseci
Citat:
5h0ck:
Mislim da sam skontao u čemu grešim:

WHERE id = 5

A trebalo bi

WHERE id = '5'

? :)


da nisam dobro raspolozen ovih dana (postao sam stric pre ~25 dana) sad bi ti rekao ... al ... ako mene nije mrzelo da ti izguglam nekoliko linkova na temu tvog problema, odaberem najbolja 4 i najbitniji stavim na vrh, kako mozes da mi objasnis da je tebe mrzelo da procitas sta tamo pise? pritom tvoj problem nema nikakve veze sa mysql-om vec sa najosnovijim sigurnosnim merama u php-u...


sto se tice WHERE id = '5'
5 je broj, '5' je text, da li ti je id tipa char ili tipa integer? da li mislis da je poredjenje dva broja brze ili sporije od poredjenja broja i teksta? to sto ce mysql ponekad u ponekoj verziji optimizera da prepozna gresku i da je zaobidje nije znak da "to tako moze" ..
 
Odgovor na temu

5h0ck
Beograd

Član broj: 14896
Poruke: 316
..8.252.195.static.beotel.net.



+1 Profil

icon Re: Specifično hakovanje baze25.08.2009. u 22:24 - pre 127 meseci
Slažem se, recimo da si me napljuvao, i ja ti kažem da imaš pravo. I ja sam malo požurio ko tele pred rudu i eto...

Frka mi je jer kroz 7 dana idem u redovnu vojsku, a pojavljuju mi se ovi problemi, pa klijenti paniče, a i ja sa njima.

Izvini i hvala ti na linkovima - svakako ću da ih pročitam detaljno, striko... :D

Čestitke... ;)
 
Odgovor na temu

[es] :: PHP :: PHP za početnike :: Specifično hakovanje baze

[ Pregleda: 2799 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.