http://jjpsoftware.tk/ Sammakkomies on tähän mennessä "hakkeroinut" sivuston kolmesti omilla ylläpito-oikeuksillaan, ja kerran peräti löytänyt oikean tietoturvariskin, joka johtui minun typerääkin typerämmästä mokauksesta. (Unohdin suojata adminpanelin osan, josta ylläpitäjät näkevät tietokannan ja FTP:n salasanan...) Nyt pyytäisinkin mielelläni asian paremmin osaavia etsimään sivustosta oikeat tietoturvariskit. Kiitos jo etukäteen!!!
Terv. Minä
Niin oliko tuon lähdekoodit jossain nähtävillä vai halusitko että vain yksinkertaisimmat aukot etsitään?
http://jjp.jouluserver.com/tiedostot/sorsia.zip
http://jjp.jouluserver.com/tiedostot/foorumi.zip
Siinä. Mukana on jonkin verran ylimääräistäkin roskaa.
Ja Sammakkomiehen sotkut korjattuani sopinee pyytää uutta tarkistusta.
Täytyypä tässä Erästä irc-kanavaa seuraavana todeta että sammakkomiehellä ei ollut noiden sotkujen kanssa mitään tekemistä, tuo sivustosi ja foorumisi kun on täyttä reikäjuustoa.
Ainakin keskustelualueiden alareunassa on jokin mysql_result-aiheinen virheilmoitus, mikä ei nosta odotuksia koodin muustakaan tasosta. Lisäksi lähdekoodista näkee (paikoin käsittämättömästä sotkuisuudesta huolimatta), että eräillä admin-sivuilla ei tarkisteta oikeuksia. Tämän enempää en viitsi tutkia, kun koodi on rakenteeltaan noin epäselvää.
Osan sotkuista se tunnusti omakseen. Mistä php-filusta on kyse?
Ainakin nukesend.php ja renameusersend.php sattuivat kohdalle.
*facepalm* Korjattu. Sen sijaan (minun luvallani suoritettu) tyhjennysoperaatio, sen Sammakkomies tunnusti tehneensä itse admin-oikeuksineen. Onko näin vai eikö ole näin vai?
Etkö kerää lokia erilaisista operaatioista? Varmuuden vuoksi on hyvä tallentaa erilliseen tauluun tiedot kaikista tapahtumista vaikka viikon ajaksi. Tärkeimpiä tietoja ovat tekijä, tapahtuman laji ja tarvittavat lisätiedot. Seuraavassa on yksi mahdollinen rakenne lokitaululle, jos useimmilla tapahtumilla on luvulla ilmaistava kohde kuten viestin tai käyttäjän id.
| tekijä | teko | kohde | muuta |
|---|---|---|---|
| 12 | viestin poisto | 1234 | |
| 34 | nuke | 12 | viestit,kommentit |
log.php:stä näkee tapahtumat, kyllä. Äskeisen sotkun, jonka ei näillä näkymin pitäisi enää olla mahdollinen tuolla tapaa, jätti jäljen, jossa ilmoitettiin kirjautumattoman käyttäjän (UID 0) IP-osoitteesta 94.101.***.*** vaihtaneen käyttäjien nimiä ja käyttäneen nuke-toimintoa. Sen sijaan kaipailisin vielä apua jäljelle jääneiden (?) sähläysten/aukkojen korjaamisesta.
Ja loppuu saman tien myös se sammakkomiehen sivujen sotkeminen, ainakin päivitykseen asti. Kiitos.
Aihe on jo aika vanha, joten et voi enää vastata siihen.