Комментарии: Безопасность, о которой все так много говорят… http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/ Quod scripsi, scripsi Wed, 08 Feb 2012 14:51:49 +0000 hourly 1 Автор: Серьёзная уязвимость в osCommerce 2.2 RC 2a | Ars Longa, Vita Brevis http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-2/#comment-2529 Серьёзная уязвимость в osCommerce 2.2 RC 2a | Ars Longa, Vita Brevis Fri, 18 Dec 2009 15:32:51 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-2529 [...] [...] [...] [...]

]]> Автор: Wave http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-2/#comment-1742 Wave Sat, 23 May 2009 20:47:12 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-1742 Понадобился маленький магазинчик. Бесплатный и с минимумом функционала. Ни мадженто, ни ос-коммерс совершенно не подходят. Малюток нашёл штуки три, из них один работал на файлах и все три в 1251. Остановился на ShopScript free edition от WebAsyst. Полез в код и код практически сразу удручающее впечатление произвёл. А потом я добрался до формирования заказа. if (isset($_SESSION["gids"]) && $c) { db_query("insert into ".ORDERS_TABLE." (order_time, cust_firstname, и так далее) values ('".get_current_time()."','".$_POST["first_name"]."','".$_POST["last_name"]."','".$_POST["email"]."','"и так далее"');") or die (db_error()); … $q = db_query("SELECT name, Price, product_code FROM ".PRODUCTS_TABLE." WHERE productID='".$_SESSION["gids"][$i]."'") or die (db_error()); } Нигде предварительно массивы POST и GET не обрабатываются и не проверяются, если не считать километровых if(is_set()) Как, например, в индексе это сделано: if (isset($_GET["register"]) || isset($_POST["register"])) $register = isset($_GET["register"]) ? $_GET["register"] : $_POST["register"]; И так с полдюжины переменных. На форуме мне подсказали, что в про и премиум аналогичные дыры. Понадобился маленький магазинчик. Бесплатный и с минимумом функционала. Ни мадженто, ни ос-коммерс совершенно не подходят.
Малюток нашёл штуки три, из них один работал на файлах и все три в 1251.
Остановился на ShopScript free edition от WebAsyst. Полез в код и код практически сразу удручающее впечатление произвёл. А потом я добрался до формирования заказа.

if (isset($_SESSION["gids"]) && $c) {
db_query(«insert into «.ORDERS_TABLE.» (order_time, cust_firstname, и так далее) values (‘».get_current_time().»‘,’».$_POST["first_name"].»‘,’».$_POST["last_name"].»‘,’».$_POST["email"].»‘,’»и так далее»‘);») or die (db_error());

$q = db_query(«SELECT name, Price, product_code FROM «.PRODUCTS_TABLE.» WHERE productID=’».$_SESSION["gids"][$i].»‘») or die (db_error()); }

Нигде предварительно массивы POST и GET не обрабатываются и не проверяются, если не считать километровых if(is_set())

Как, например, в индексе это сделано:
if (isset($_GET["register"]) || isset($_POST["register"]))
$register = isset($_GET["register"]) ? $_GET["register"] : $_POST["register"];
И так с полдюжины переменных.

На форуме мне подсказали, что в про и премиум аналогичные дыры.

]]> Автор: Vladimir http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-919 Vladimir Fri, 21 Nov 2008 01:23:12 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-919 Еще одна статья по теме: <strong><a href="http://blog.sjinks.pro/security/362-incorrect-way-to-integrate-payment-gateways/" rel="nofollow">Как не нужно интегрировать платёжные системы</a></strong> Еще одна статья по теме: Как не нужно интегрировать платёжные системы

]]> Автор: Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-918 Как не нужно интегрировать платёжные системы | Ars Longa, Vita Brevis Fri, 21 Nov 2008 01:19:33 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-918 [...] а румынец из компании SurgeWorks) могу сказать следующее: никогда не доверяйте данным, которые пришли от пользов.... Лень (и непрофессионализм) в этом случае могут [...] [...] а румынец из компании SurgeWorks) могу сказать следующее: никогда не доверяйте данным, которые пришли от пользов…. Лень (и непрофессионализм) в этом случае могут [...]

]]> Автор: DimoninG http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-559 DimoninG Sat, 13 Sep 2008 10:47:51 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-559 Честно, про подделку типа файла не думал. Был уверен, что PHP лезет в файл, смотрит, что там, а потом выдает mime ))) Я был наивен, исправился. Про плагин к ОгнеЛису - тоже спасибо, опять же не слышал о таком. Ух, и интересно же все это ))) Честно, про подделку типа файла не думал.
Был уверен, что PHP лезет в файл, смотрит, что там, а потом выдает mime ))) Я был наивен, исправился.

Про плагин к ОгнеЛису – тоже спасибо, опять же не слышал о таком.
Ух, и интересно же все это )))

]]> Автор: SaltyDog http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-398 SaltyDog Tue, 15 Jul 2008 23:16:23 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-398 Повторил финт ушами. Покатаюсь по каталогам, ломать не буду :) Повторил финт ушами. Покатаюсь по каталогам, ломать не буду :)

]]> Автор: Vladimir http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-397 Vladimir Tue, 15 Jul 2008 23:03:20 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-397 <blockquote>Это какая-то хитрая функция, которая изменила 123 на 5?</blockquote> Спасибо, поправил… <blockquote>а ребята вообще забавные, даже файл твой не удалили</blockquote> Да забили они на сайт, они деньги с AdSense получают (кстати, Google AdSense забанил меня именно за эту статью); видимо, им этого хватает.

Это какая-то хитрая функция, которая изменила 123 на 5?

Спасибо, поправил…

а ребята вообще забавные, даже файл твой не удалили

Да забили они на сайт, они деньги с AdSense получают (кстати, Google AdSense забанил меня именно за эту статью); видимо, им этого хватает.

]]> Автор: SaltyDog http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-396 SaltyDog Tue, 15 Jul 2008 22:57:31 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-396 а ребята вообще забавные, даже файл твой не удалили :-) а ребята вообще забавные, даже файл твой не удалили :-)

]]> Автор: SaltyDog http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-394 SaltyDog Tue, 15 Jul 2008 22:49:56 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-394 <code>$id = $_GET['id']; $query = "SELECT * FROM {$members} WHERE id = $id LIMIT 1";<code> Всем хорош код, когда $id — это число. Например, если скрипт был вызван "script.php?id=<b>123</b>", то запрос принял бы следуюший вид: <code>SELECT * FROM members WHERE id = 5 LIMIT 1<code> Это какая-то хитрая функция, которая изменила 123 на 5? :) $id = $_GET['id'];
$query = "SELECT * FROM {$members} WHERE id = $id LIMIT 1";
Всем хорош код, когда $id — это число. Например, если скрипт был вызван "script.php?id=123", то запрос принял бы следуюший вид:
SELECT * FROM members WHERE id = 5 LIMIT 1

Это какая-то хитрая функция, которая изменила 123 на 5? :)

]]> Автор: Vladimir http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/comment-page-1/#comment-393 Vladimir Tue, 15 Jul 2008 21:41:36 +0000 http://blog.sjinks.pro/security/9-security-they-talk-so-much-about/#comment-393 Разработчики забили на свой продукт. Я им даже решение постил. Метод страуса - не лучший метод защиты. Разработчики забили на свой продукт. Я им даже решение постил. Метод страуса – не лучший метод защиты.

]]>