Archiwum - Mass Passwords Changer (MPC)
m1chu - 07-08-2006, 12:30
qbs napisał/a: | NIE UZYWAC TEJ MODYFIKACJI!!! JEST CALKOWICIE NIEBEZPIECZNA |
Jest sprawna - ale nie idioto odporna.
1. napisałem w temacie, ze plik należy usunąć po użyciu modyfikacji!
2. jeśli ktoś sobie sam aplikuje sql injection to jest albo niepełno sprytny, albo ma niepokolei.
3. hmmm wrzucenie pliku i wykonanie zamierzonego celu to powiedzmy maksymalnie w skrajnych przypadkach pół godziny. Szansa, że "hacker" trafi na ten moment jest znikoma.
4. ponieważ jednak zrobiłeś qbs z tego wielką aferę jest kolejna wersja. W string'ach wywalane są znaki ' i ", a zmienne liczbowe sprowadzane są do int'ów obojętnie co się do nich wpiszę. Po za tym, aby uruchomić modyfikację do zmiennej $restriction należy wpisać swoje ip.
5. Prosiłbym uprzejmie następnym razem o pisanie takich rzeczy mi na PW. Troche niekulturalnie i chamsko jest robić takie rzeczy jak Ty zrobiłeś qbs. Niektórzy mogą sobie pomyśleć, że dodatkowo jeszcze może wysyłam hasła na mojego mail'a na przykład. Jeśli ktoś się obawia... proszę, macie kod, sprawdzcie. Niech powtórze: skrypt nie był zabezpieczony - zdawałem sobie z tego sprawę - ale zaznaczyłem to w fragmencie o wyrzucaniu pliku z serwera!
irekk - 07-08-2006, 14:39
m1chu, ty bchyba nie masz pojecia co to jest sql injection i jakie krzywdy mozna tym wyrzadzic? nie piszac juz ze wsadziles $_POST prosto do zapytania!
nie masz pojecia co robisz to nie rob!
[ Dodano: 07-08-2006, 15:55 ]
Kod: | $smtp_host = addslashes($_POST['smtp_host']);
$smtp_port = intval($_POST['smtp_port']);
$smtp_user = addslashes($_POST['smtp_user']);
$smtp_pswd = addslashes($_POST['smtp_pswd']);
$sender = addslashes($_POST['sender']); |
polecam preg_match dodawania kolejnych slashy nic nie da a wrecz przeciwnie - przeszkodzi
w glebi kodu dalj uzywasz $_POST['smtp_host'] i reszty pomimo ze masz je juz przypisane do zmiennych.
Kod: | $group_mode = addslashes($_POST['group_mode']); |
zapewne to maja byc sztywne wartosci, wiec:
Kod: | $group_modes = array('tryb1', 'tryb2', 'tryb3')
$group_mode = ( @in_array($_POST['group_mode'], $group_modes) ) ? $_POST['group_mode'] : ''; |
jest duzo bezpieczniejsze niz to co ty proponujesz.
btw czy wiesz ze w momencie jak przekazujesz np: raver's nature to $_POST go automatycznie zamienia na raver\'s nature (nie na kazdym serwerze)? a gdy dodajesz jeszcze addslashes to wowczas otrzymujesz raver\\\'s nature ? maly szczegol ale jaki wazny nie?
stosujesz twardo mysql_query zamiast korzystac z klasy db
nie wszedzie dziala cos takiego: !empty() zamiast tego stosuj empty() == false
a teraz rzecz najglupsza: Kod: | include("config.php"); |
zacznij korzystac z plikow, funkcji i klas w jakie zaopatrzony jest skrypt domyslnie. wowczas uzytkownicy twoich modyfikacji (a w wielu przypadkach sa to noobiki ktore jednak nie wykasuja plikow) beda bezpieczni. i zamiast stosowac zabezpieczen na IP wystarczy zwykle:
Kod: | if ( $userdata['user_level'] != ADMIN )
{
message_die(GENERAL_MESSAGE, 'Chyba smieszny jestes jesli myslisz ze jestes lepszy od admina :P');
} |
m1chu - 07-08-2006, 18:56
qbs napisał/a: | m1chu, ty bchyba nie masz pojecia co to jest sql injection |
Tak się składa, że mniej więcej wiem. Powiedzmy, że zaplikowanie nieautoryzowanego kodu sql'a poprzez nieprawidłową składnie stworzoną przez programiste.
qbs napisał/a: | nie piszac juz ze wsadziles $_POST prosto do zapytania! |
Którego? Hmmm... $_POST'y są... przypisane do zmiennych bądź co bądź w funkcji.
qbs napisał/a: | nie masz pojecia co robisz to nie rob! |
Jakbym nie miał, to bym nic nie napisał. Ale przyznam... cały czas się uczę :] Zresztą jak większość z nas (między innymi ty też )
qbs napisał/a: | w glebi kodu dalj uzywasz $_POST['smtp_host'] i reszty pomimo ze masz je juz przypisane do zmiennych. |
Używam tylko, jeśli użytkownik wybierze metodę mailowania poprzez smtp.
qbs napisał/a: | btw czy wiesz ze w momencie jak przekazujesz np: raver's nature to $_POST go automatycznie zamienia na raver\'s nature (nie na kazdym serwerze)? a gdy dodajesz jeszcze addslashes to wowczas otrzymujesz raver\\\'s nature ? maly szczegol ale jaki wazny nie? |
To się nazywa magic_quotes_gpc == ON Poprawione...
qbs napisał/a: | jest duzo bezpieczniejsze niz to co ty proponujesz. |
Ale to nie jest cms To ma być zwykły quick changer - taki był zamiar :]
qbs napisał/a: | stosujesz twardo mysql_query zamiast korzystac z klasy db |
Niech Ci będzie, zapoznam się bardziej i postaram opuścić mysql_query (choć na podstawie tego kiedyś się uczyłem )
qbs napisał/a: | nie wszedzie dziala cos takiego: !empty() zamiast tego stosuj empty() == false |
"Specyfikacja" php mówi, że !empty() działa. Ale niech Ci będzie. Jakby co - Twoja wina
qbs napisał/a: | zacznij korzystac z plikow, funkcji i klas w jakie zaopatrzony jest skrypt domyslnie. wowczas uzytkownicy twoich modyfikacji (a w wielu przypadkach sa to noobiki ktore jednak nie wykasuja plikow) beda bezpieczni. i zamiast stosowac zabezpieczen na IP wystarczy zwykle: |
Czemu na chama chcesz zrobić z tego kombajn? To nie ma być częśc PA, tylko oddzielny mod jeśli ktoś ma potrzebe masowej zmiany maili. I taki jest...
A teraz kilka słów konkluzji. Hmmm... widać, że coś Ci ewidentnie nie pasuje. Nie wiadomo co. Na PW nie raczysz odpowiedzieć, o elokwetnej odpowiedzi nawet nie marze. Na chama próbujesz coś wymyślisz, byleby podreperować ego. Nie przecze, że zrobiłem kilka celowych bądź nie celowych błędów, ale potrafie się do tego przyznać. Może pora zacząć pomagać w takich przypadkach, a nie leczyć swoje problemy? A jak nie chcesz to zajmij się swoimi modami, które też idealne nie są - ewentualnie wychodzi do nich masa poprawek. Byłem miły i taki postaram się być dalej - bo nic do Ciebie nie mam, ale nie lubie osób które innym, którzy zadają konkretne pytanie plują w twarz. Dzięki za przedstawienie problemu, część rzeczy została poprawiona, reszta zostanie jak jest - chyba, że napiszesz coś bardziej rzeczowego. Wniosek jest jeden: jeśli ktoś jest za "inteligentny" (w odwrotnym tego słowa znaczeniu) to niech nie używa phpbb i tego moda (niech przypomne - jeszcze niedawno skrypt forum był tak dziurawy, że każda lepsza osoba mogła się do niego włamać - a pisali go profesjonaliści ponoć, a Ty czepiasz się mnie).
Z życzeniami miłego pisania
m1chu
irekk - 07-08-2006, 22:00
widze ze jestes az tak glupi ze szkoda mojego czasu na to
razdwa - 19-12-2006, 10:48
Można prosic reupa wersji 1.7 ?
Pozdrawiam
Fargariel - 20-12-2006, 15:54
huh...
@ixdude.com: po coz sie madrujesz? lepiej zrobisz jak naprawisz. moze nie bedziesz 'kozak', ale pokazesz, ze 'cos umiesz' bez zbednego flame-war...
rahim - 23-12-2006, 12:02
Można odświeżyć linka do pliku w najnowszej wersji?
m1chu - 16-06-2007, 18:51
Wersja 2.0, w pełni zintegrowana znajduje się tutaj. Wszelkie zauważone błędy proszę kierować w tamtym temacie lub u mnie na forum.
Z góry dzięki.
lui754 - 25-01-2010, 19:56
Brak modyfikacji w załączniku, stara wersja. Wcześniej qbs pisał, że modyfikacja jest niebezpieczna.
Archiwum
|
|
|