¿Es mi código seguro?

Iniciado por DarkItachi, 11 Octubre 2009, 19:07 PM

0 Miembros y 2 Visitantes están viendo este tema.

DarkItachi

Buenas estuve haciendo un login en php y más tarde me enteré de bugs en codigos, inyecciones sql y demás, estoy temeroso y no se si mi código es seguro, agradecería que me lo dijeráis.

Gracias

PD: Si podéis aportar también algun consejo os lo agradecería. Gracias.

Ahí va:

Código (php) [Seleccionar]

<?php
include 'config.php';
$usuario=$_REQUEST['user'];
$pass=$_REQUEST['pass'];
$texto=$_REQUEST['texto'];
if (empty(
$usuario) || empty($pass) || empty($texto)) die("<center><font color=red size=17>No has introducido un nombre de usuario, contraseña o texto.</font></center>");
$conexion=mysql_connect($host,$user,$password) or die(mysql_error($conexion));
mysql_select_db($database,$conexion) or die(mysql_error($conexion));
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario='$usuario'") or die(mysql_error($conexion));
if (
1>mysql_num_rows($consulta)) die("<center><font color='red' size='17'><b>Usuario inexistente.</b></font></center>");
$datos=mysql_fetch_assoc($consulta);
if (
md5($pass)==$datos['passphrase'])
{
echo 
"<center><font color='green' size='17'>Login correcto.<br><b>Mensaje circular enviado</b></font></center>";
//(OTRO CODE)
}
}
else
{
echo 
"<center><font color=red size='17'>Login incorrecto.</font></center>";
}
mysql_close($conexion);
?>
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Nakp

no xD, no filtras ni user, ni pass, ni texto...

Código (php) [Seleccionar]
$usuario=mysql_real_escape_string(stripslashes($_REQUEST['user']));
Ojo por ojo, y el mundo acabará ciego.

DarkItachi

Y que pasa si no los filtro?

Osea mejor dicho, para el código de antes, como le aplicarías una inyección SQL?
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

jdc

En el código anterior se pueden meter símbolos (',-,",+*, etc) por lo que tus campos se pueden usar casi como una consola de sql realizando consultas que tú código vómitara xD osea tú nombre, tú contraseña y todo lo que tengas en tú base de datos

DarkItachi

#4
Cita de: janito24 en 11 Octubre 2009, 20:29 PM
En el código anterior se pueden meter símbolos (',-,",+*, etc) por lo que tus campos se pueden usar casi como una consola de sql realizando consultas que tú código vómitara xD osea tú nombre, tú contraseña y todo lo que tengas en tú base de datos

Ya... Me refería en un ejemplo práctico, pregunté si era seguro porqué probe de hacer esto:

Suponiendo que usuario= ' OR 1=1
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario=' ' OR 1=1") or die(mysql_error($conexion));

Eso no escribe en la pagina datos personales, entonces, es seguro el código no?

Porque me retorna:

Usuario inexistente. (lo cual es logico xd)

Y nada más.
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

WHK

#5
De usuario pongo esto:

admin' union select 'admin','e10adc3949ba59abbe56e057f20f883e',3,4,'5

Por lo tanto le hará select a los datos del administrador y devolverá user admin y pass el md5 de "123456", asi que de pass le pongo 123456 y ya soy admin ^^

Esto se parece a un reto que existe en el warzone xD

En el caso de:
CitarSuponiendo que usuario= ' OR 1=1
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario=' ' OR 1=1") or die(mysql_error($conexion));

no estás haciendo inyección ya que la inyeccion se la haces orientado al password no al usuario, si no hay usuario válido puede darte error como te dió a ti, para inyectar necesitas devolver un dato válido, por ejemplo al final puedes aplicar un where like username = '%' y con eso ya te jodió el sistema o incluso hacer concat sin la necesidad de hacer comillas.

http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html
http://foro.elhacker.net/seguridad/prevenir_sql_injection-t261480.0.html
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_71009-t244090.0.html

DarkItachi

Cita de: WHK en 11 Octubre 2009, 22:21 PM
De usuario pongo esto:

admin' union select 'admin','e10adc3949ba59abbe56e057f20f883e',3,4,'5

Por lo tanto le hará select a los datos del administrador y devolverá user admin y pass el md5 de "123456", asi que de pass le pongo 123456 y ya soy admin ^^

Esto se parece a un reto que existe en el warzone xD

En el caso de:
CitarSuponiendo que usuario= ' OR 1=1
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario=' ' OR 1=1") or die(mysql_error($conexion));

no estás haciendo inyección ya que la inyeccion se la haces orientado al password no al usuario, si no hay usuario válido puede darte error como te dió a ti, para inyectar necesitas devolver un dato válido, por ejemplo al final puedes aplicar un where like username = '%' y con eso ya te jodió el sistema o incluso hacer concat sin la necesidad de hacer comillas.

http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html
http://foro.elhacker.net/seguridad/prevenir_sql_injection-t261480.0.html
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_71009-t244090.0.html

Ahí me refería yo, muchas gracias :D

Voy a revisarme esos links que me has dado :D

Muchas gracias :P
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Debci

Cita de: DarkItachi en 11 Octubre 2009, 19:07 PM
Buenas estuve haciendo un login en php y más tarde me enteré de bugs en codigos, inyecciones sql y demás, estoy temeroso y no se si mi código es seguro, agradecería que me lo dijeráis.

Gracias

PD: Si podéis aportar también algun consejo os lo agradecería. Gracias.

Ahí va:

Código (php) [Seleccionar]

<?php
include 'config.php';
$usuario=$_REQUEST['user'];
$pass=$_REQUEST['pass'];
$texto=$_REQUEST['texto'];
if (empty(
$usuario) || empty($pass) || empty($texto)) die("<center><font color=red size=17>No has introducido un nombre de usuario, contraseña o texto.</font></center>");
$conexion=mysql_connect($host,$user,$password) or die(mysql_error($conexion));
mysql_select_db($database,$conexion) or die(mysql_error($conexion));
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario='$usuario'") or die(mysql_error($conexion));
if (
1>mysql_num_rows($consulta)) die("<center><font color='red' size='17'><b>Usuario inexistente.</b></font></center>");
$datos=mysql_fetch_assoc($consulta);
if (
md5($pass)==$datos['passphrase'])
{
echo 
"<center><font color='green' size='17'>Login correcto.<br><b>Mensaje circular enviado</b></font></center>";
//(OTRO CODE)
}
}
else
{
echo 
"<center><font color=red size='17'>Login incorrecto.</font></center>";
}
mysql_close($conexion);
?>

en principio me parece ver un posible xss por no filtrar los datos (con temor a equivocarme ¬¬)

Saludos

DarkItachi

Acabo de probar una inyeccion y no me afecta.

Pongo de usuario:

-1' UNION UPDATE jugadores SET passphrase='202cb962ac59075b964b07152d234b70' WHERE usuario='admin

Pero no me cambia nada.

jugadores es el nombre de la tabla
passphrase es el campo de la contraseña
La passphrase que le asigno es el md5 de 123

Después de esto la pass sigue siendo la misma de antes, no ha cambiado.

¿Alguien sabe porqué?
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Jubjub

Tienes activadas las magic quotes.

Pero no debes de fiarte de ellas, ya las han marcado como "deprecated", y posiblemente desaparezcan en algo de tiempo, filtra comillas intensivamente ;)
Jugando con Fósforoshacking con un tono diferente


.
porno