מחפש מישהו שיבדוק לי SQL INJECTION - עמוד 3 - הוסטס

**Daniel** · 08-07-08, 19:21

ציטוט:

נכתב במקור על ידי BlueNosE

אני מדבר על TEXTAREA כמו FCK או סתם אחד שמוסיף תגים ל-HEAD.
לא נתקלת באחד כזה?

נתקלתי, אבל רק לעשות addslashes מאוד מאוד מאוד לא מאובטח.

במידה ואני רוצה HTML, אני יכול להשתמש ב-
$this->rawinput['val']

ובמידה ואני רוצה שזה יהיה גם מאובטח, אז,
$this->securedhtml['val']

גם פלט של עורך חכם בלי לטפל זה חור אבטחה.

~~kfir91~~ · 08-07-08, 17:22

ובקשר לאתר תחפשו לי חורי אבטחה תיקנתי את מה שאמרתם ..

BlueNosE · 08-07-08, 21:06

שוב, לעשות מה שעשית זה בזבוז משאבים.
להריץ פונקציה מראש על X איברים שיהיו לך.. זה בזבוז של משאבים * X

ותביא לי דוגמא איך אפשר לפרוץ TEXTAREA שאני מחליט מראש לאפשר בו HTML, בגלל שאני מאבטח אותו רק עם ADDSLASHES.

**Daniel** · 09-07-08, 00:12

ג'אווה סקריפט?

BlueNosE · 09-07-08, 01:51

איפשהו איבדת אותי..
אני מדבר על מערכת CMS, לדוגמא. אם מנהל האתר מחליט לירות לעצמו ברגל - שיהנה. ואם אני צריך משהו ספציפי לשדה טקסט מסויים - אני אוסיף את ההגנה המתאימה.

**Daniel** · 10-07-08, 01:19

ציטוט:

נכתב במקור על ידי BlueNosE

איפשהו איבדת אותי..
אני מדבר על מערכת CMS, לדוגמא. אם מנהל האתר מחליט לירות לעצמו ברגל - שיהנה. ואם אני צריך משהו ספציפי לשדה טקסט מסויים - אני אוסיף את ההגנה המתאימה.

וכשהמנהל מעוניין שיוכל למנות צוות כתבים/עוזרים? כיצד תריץ את הסינון המתאים?

עדיין, אבל אם מישהו "נתן למנהל את האקדח ואמר לו לכוון לרגל וללחוץ"?

ובמידה והוא רצה לעשות בכותרת, "החיים <הם> טובים", וזה יסתיר את ה"<המ>"?

אני אומר, אם בשביל עוד 10 אלפיות שניה(/מאית) אני בטוח מכל הכיוונים - לא אכפת לי להוסיף את המאית הזאת, ואי אפשר לדעת, לעשות כל פעם mysql_real_escape_string, htmlspecialchars, intval - אולי המשקל שאתה מוסיף, שזה עוד 60 בייטים! אחרי שאתה מוסיף את זה בקובץ מספיק, בגלל הנפח הגדול(אם יש 20 ערכים שאתה עושה להם את זה), זה כבר 1200 בייטים! שזה יותר מקילובייט! ואז לשרת יקח יותר זמן לעבד את זה!

בכל דבר אתה יכול להגזים, אבל אם אומרים לי, "אנחנו לוקחים מאית כל פעם ומבטיחים הגנה מלאה" - אני לוקח. ואני יודע, לעומת המתכנתים שבפורום שעושים את הדברים הבאים.
1. עושים אם יש בכתובת/בדבר הנשלח SELECT, DELETE, או UNION - נותן באן.
למה לא טוב? שלחתי בהודעה בטעות SELECT/DELETE, האתר המתחרה בכוונה נותן קישור לדף עם SELECT בכתובת כדי שלא יוכלו להיכנס, בסוף יהיו פקודות חדשות
2. str_replace("<script"), mysql_real_escape_string כדי למנוע ג'אווה סקריפט - קל מאוד מאוד לעקוף את זה.

ואני יכול לתת עוד דוגמאות להרגלים לא נכונים לטעמי, שלא נדבר שזמן הטעינה שלהם לרוב רב יותר - הדרך שלי אומרת ככה. לא מעניין אותי מה יכניסו לי - לא יכניסו נכון? לא יקבלו תוצאות.

הפעם היחידה שאני עושה סינון, זה ב-htaccess - אבל זה רק למען הנוחות. אני עובד עם htaccess באופן מלא.

תחליט אתה, מאית שניה ואבטחה מלאה או לא?

כמו כן, בגלל שרוב ה"מתכנתים" כאן ישתמשו במערכים של קלט מהמשתמש בלי בדיקת isset, ואם הם שומרים USER_AGENT / HTTP_REFERER בלי שום סינון, ואם הם מסתמכים על $_SERVER["HTTP_X_FORWARDED_FOR"] בשביל לגלות IP, בסופו של דבר, יחסית לרוב ה"מתכנתים" בהוסטס - השיטה שלי יותר יעילה - והרבה יותר בטוחה.

יחסית למתכנתים מחוץ לבועה - חלק חלק, אבל אם אתה שואל את עצמך, האם תקריב מאית שניה בשביל 100% אבטחה, אני מנחש שתענה כן?

BlueNosE · 10-07-08, 02:24

ציטוט:

נכתב במקור על ידי MasterT

וכשהמנהל מעוניין שיוכל למנות צוות כתבים/עוזרים? כיצד תריץ את הסינון המתאים?

עדיין, אבל אם מישהו "נתן למנהל את האקדח ואמר לו לכוון לרגל וללחוץ"?

ובמידה והוא רצה לעשות בכותרת, "החיים <הם> טובים", וזה יסתיר את ה"<המ>"?

אני אומר, אם בשביל עוד 10 אלפיות שניה(/מאית) אני בטוח מכל הכיוונים - לא אכפת לי להוסיף את המאית הזאת, ואי אפשר לדעת, לעשות כל פעם mysql_real_escape_string, htmlspecialchars, intval - אולי המשקל שאתה מוסיף, שזה עוד 60 בייטים! אחרי שאתה מוסיף את זה בקובץ מספיק, בגלל הנפח הגדול(אם יש 20 ערכים שאתה עושה להם את זה), זה כבר 1200 בייטים! שזה יותר מקילובייט! ואז לשרת יקח יותר זמן לעבד את זה!

בכל דבר אתה יכול להגזים, אבל אם אומרים לי, "אנחנו לוקחים מאית כל פעם ומבטיחים הגנה מלאה" - אני לוקח. ואני יודע, לעומת המתכנתים שבפורום שעושים את הדברים הבאים.
1. עושים אם יש בכתובת/בדבר הנשלח SELECT, DELETE, או UNION - נותן באן.
למה לא טוב? שלחתי בהודעה בטעות SELECT/DELETE, האתר המתחרה בכוונה נותן קישור לדף עם SELECT בכתובת כדי שלא יוכלו להיכנס, בסוף יהיו פקודות חדשות
2. str_replace("<script"), mysql_real_escape_string כדי למנוע ג'אווה סקריפט - קל מאוד מאוד לעקוף את זה.

ואני יכול לתת עוד דוגמאות להרגלים לא נכונים לטעמי, שלא נדבר שזמן הטעינה שלהם לרוב רב יותר - הדרך שלי אומרת ככה. לא מעניין אותי מה יכניסו לי - לא יכניסו נכון? לא יקבלו תוצאות.

הפעם היחידה שאני עושה סינון, זה ב-htaccess - אבל זה רק למען הנוחות. אני עובד עם htaccess באופן מלא.

תחליט אתה, מאית שניה ואבטחה מלאה או לא?

כמו כן, בגלל שרוב ה"מתכנתים" כאן ישתמשו במערכים של קלט מהמשתמש בלי בדיקת isset, ואם הם שומרים USER_AGENT / HTTP_REFERER בלי שום סינון, ואם הם מסתמכים על $_SERVER["HTTP_X_FORWARDED_FOR"] בשביל לגלות IP, בסופו של דבר, יחסית לרוב ה"מתכנתים" בהוסטס - השיטה שלי יותר יעילה - והרבה יותר בטוחה.

יחסית למתכנתים מחוץ לבועה - חלק חלק, אבל אם אתה שואל את עצמך, האם תקריב מאית שניה בשביל 100% אבטחה, אני מנחש שתענה כן?

אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.

**Daniel** · 10-07-08, 02:59

ציטוט:

נכתב במקור על ידי BlueNosE

אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.

אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?

BlueNosE · 10-07-08, 12:02

ציטוט:

נכתב במקור על ידי MasterT

אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?

אני אתחיל מזה שאין מצב שאני קורא למשתנה לא מאובטח.
עם המחלקת FETCH שהכנתי, אני פשוט יודע אם אני צריך להשתמש בSECURE (פונקצית מחלקה) או לא. זה לא מסבך כ"כ: או secure($val) או the($val).

עכשיו, שכחתי לציין משהו.
אתה באמת חושב שמתפקידי לסנן JS מאתר מסויים?
אתה באמת חושב שזו תהיה בקשה הגיונית מלקוח לא לתת לאנשים להכניס JS או CSS לקוד?
ומה אם הם ישימו IFRAME או סתם ימתחו את העמוד יותר מדי? את כל זה תסנן?
צריך שיהיה להם איך להכניס HTML. עכשיו אם מה שיעשה את בעל האתר רגוע זה סינון SCRIPT, אני אסנן. אבל זאת ממש לא הגנה, ואני לא רואה בעיה בלסמוך על אנשים.

AlmogBaku · 10-07-08, 11:53

אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?!

נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה.
ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה.

זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור.
רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

08-07-08, 21:06	# 3
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	שוב, לעשות מה שעשית זה בזבוז משאבים. להריץ פונקציה מראש על X איברים שיהיו לך.. זה בזבוז של משאבים * X ותביא לי דוגמא איך אפשר לפרוץ TEXTAREA שאני מחליט מראש לאפשר בו HTML, בגלל שאני מאבטח אותו רק עם ADDSLASHES. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

09-07-08, 01:51	# 5
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	איפשהו איבדת אותי.. אני מדבר על מערכת CMS, לדוגמא. אם מנהל האתר מחליט לירות לעצמו ברגל - שיהנה. ואם אני צריך משהו ספציפי לשדה טקסט מסויים - אני אוסיף את ההגנה המתאימה. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-08, 17:22	# 2
~~kfir91~~ חסום מיני פרופיל תאריך הצטרפות: Apr 2007 הודעות: 220	ובקשר לאתר תחפשו לי חורי אבטחה תיקנתי את מה שאמרתם ..

09-07-08, 00:12	# 4
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	ג'אווה סקריפט?

10-07-08, 11:53	# 10
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?! נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה. ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה. זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור. רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)