Haluan että ystävälliset ihmiset yrittävät erillaisia hakkerointi menetelmiä joita osaavat sivustooni ja kertovat jos pääsevä lävitse ja myös sen että miten pääsi lävitse, jotta voisi korjata. =)
Minulla ei ole rahaa maksaa hakkereille palkkaa, että etsivät tietoturvaukkoja, mutta toivon, että mahdollissimman monta aukkoa saisin tukittua näinkin. Ohjelmointiputkan jäsenten avulla. Itse en osaa hakkeroida joten tietoturva vähän hukassa jotain perusjuttua osaan, mutta en tiedä olenko onnistuneesti niitäkään kaikkia tukkinut. :)
Sivuston lähdekoodi kannattaa julkaista, mikäli haluat mahdollisimman monen tutkivan sivustosi tietoturvaa.
Rikki o
Ei ole perusjututkaan hallussa. Tarkista syötteet ennen kuin lyöt ne osaksi sql-kyselyitä. Tai vielä parempi, käytä PDO:ta.
Voisit käyttää myös jotain parempaa tiivistealgoritmia. '***' on huono salasana ylläpitäjälle ja älä käytä samoja salasanoja eri palveluissa.
Mod. piilotti salasanan. Viesti on krakkerin kirjoittama.
Tässä on nyt mielestäni aivan nurinkurinen lähtökohta. Turvallisuutta ei tehdä niin, että tehdään tietoturvaton palvelu ja sitten korjaillaan aukkoja sitä mukaa kun niitä löytyy.
Aloituspostauksen perusteella luulin, että nyt olisi tehty systeemi parhaita turvakäytäntöjä noudattaen ja haluttaisiin vaan tuplavarmennus. Harmikseni huomaan, että asia ei ollutkaan niin.
Toisten salasanojen levittäminen ei ehkä ole tämän langan tarkoitus? Vaikka murtaminen olisikin helppoa, niin tuon voisi editoida pois?
mika132:n tunnuksella kirjautunut kirjoitti:
Voisit käyttää myös jotain parempaa tiivistealgoritmia.
Ei kai tiivistealgoritmissa sinänsä ole mitään vikaa, mutta suolaa olisi syytä käyttää.
Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. Tämä on todella suuri riski, koska tämän aukon hyödyntämiseen ei tarvita edes kovin 1337H4x0r5ki11z. Tekniikka on vapaasti jaossa ja yleisesti tiedossa.
Jokotai kirjoitti:
Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. ...
Mitäs luulet Deffin tehneen :)? Ei toki kirjautumisessa, mutta kuitenkin.
Mizou kirjoitti:
Jokotai kirjoitti:
Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. ...Mitäs luulet Deffin tehneen :)? Ei toki kirjautumisessa, mutta kuitenkin.
tosiian, injektiohan se siinä
Voisko ylläpito poistaa ton "sala"sana-viestin, kun kerta on spostissa ja muissa palveluissa henkilöllä käytössä...
No voithan poistaa sen itsekin. :D
Sitten täytyisi poistaa myös tuo aikaisempi linkki, koska siitähän sen näkee myös. Itse suosittelisin kyllä että mika pikapikaa ottaa käyttöönsä eri salasanat joka saitille.
Voisitteko olla kirjoittamatta minun tunnuksella (tai vaihdoin saliksen jo mutta niin ylläpitovoisi poistaa nuo vistit?) Tuo salasana viesti ja sitten tuo
"joo komppaan kyllä tota eri salasanojen käyttöä"
Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:
$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')
Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.
Voithan muokata nuo itsekin pois.
Tai kyllä ylläpitokin muokannee jossain välissä, mutta jos ne on vaikka kesälomalla, niin ei kannattane turhaan odotella.
lainaus:
Eikös tuota on lähes mahdoton avata enää solmusta.
No riippuu salasanasta. Jos tuon suolan saa selville ja on helppo salasana, niin lähes triviaalia brute forcettaa. Mutta toki parempi kuin nykysysteemi. Ja pääkäyttäjänhän nyt kannattaisi kaikissa tilanteissa laittaa salasana, joka on vaikeampi.
Itselläni on mahdollisuuksien mukaan joka paikassa tämäntyylinen salasana:
6k,PHASvmT8j2o2mnW[WEZ
Ja siis tietenkin, joka saitilla eri salasana, niinkuin jokainen edellisen linkkini tsekannut ymmärtää tehdä.
Valitettavasti on jotain idioottimaisia saitteja, jotka ei salli yli tietyn pituista salasanaa. Koomisin tähän mennessä ollu max 8 merkkiä.
mika132 kirjoitti:
Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:
$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.
Kyse ei ole kryptaamisesta vaan hashaamisesta eli tiivistämisestä. Kryptaus eli salaaminen on kaksisuuntainen operaatio, tiivistäminen yksisuuntainen. Yksisuuntaisuus tarkoittaa sitä, ettei annetusta tiivisteestä voi mitenkään yksinkertaisesti päätellä alkuperäistä merkkijonoa.
mika132 kirjoitti:
Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:
$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.
Tuo on periaatteessa pohjimmiltaan hyvä alku. Olettaen että luot suolan oikein jne. Mutta en usko että olisi mitään syytä olla käyttämättä phpass:ia:
http://www.openwall.com/phpass/
Tuo "kirjasto" hoitaa salasanojen käsittelyn ja jättää oikeastaan sinun kontollesi pelkästään sen huolen, että salasanasi/salalauseesi eivät ole liian heikkoja.
Nopea alustus käyttöönotosta:
http://dev.myunv.com/articles/secure-passwords-with-phpass/
Enää ei pitäisi kenenkään päästä admin hallintapaneeliin millään konstilla.
Lisäksi lomakekenttien tietoja käsitellään nyt eritavalla joten näidenkään kautta ei pitäisi päästä yhtään mihkään? Testatkaa.
ja salasanojen ei pitäisi enää näkyä missään.
Kertokaahan jos löydätte vielä aukkoja. =)
Edit:
Lisäksi tein palvelimen vaihto eston. Eli ei pitäisi pystyä kääntämään palvelin viestejä eri suuntiin. En osaa selittää oikein mutta ymmärrätte varmaan ja voitte yrittää jos osaatte kääntää tietoja eri suuntiin.
Upload scripti imee kaikki tiedostot (php mukaan lukien), eikä sitä oo suojattu millään tavalla. Upload kansiossa txt tiedosto missä SQL tunnukset yms.
enää ei pitäisi sekään imeä mitään. Onko muita aukkoja vielä löytynyt? Admin paneelinkin lukitsin kunnolla ellei joku jo ehtinyt sitä tuon php scripti bugin takia murtamaan.
Sivu ei muuta teekkään kun heittää erroria...
Mistähän erroria löysit? Kyseessä on siis bugeja jotka tuli kun muutin PDO tyyliin ja sivusto on vielä hieman "sekaisin". :D
http://tehogames.com/?q=admin/index
include($_GET['q']) ei ole kovin hyvä käytäntö
Samip'n linkki ohjaa jouluserver.comin servulle ja palauttaa 404.
Varmaan web-hotellin tarjoaja kyllästyi jatkuviin väärinkäytöksiin ja otti sivut alas?
Jouluserver on lopetettu ajat sitten (ja se johtui palvelinrikosta - ei väärinkäytöksistä).
Tiedän kyllä, että jouluserver lopetettiin aikanaan siellä kun olin. Mutta ajattelin vain muistuttaa, että turha linkkiä on laittaa, kun ei johda loppujen lopuksi mihinkään.
samip kirjoitti:
http://tehogames.com/?q=admin/index
include($_GET['q']) ei ole kovin hyvä käytäntö
Ei getissä mitään vikaa jos sen hakeman tiedon muistaa asiallisesti tarkistaa.
dartvaneri kirjoitti:
samip kirjoitti:
http://tehogames.com/?q=admin/index
include($_GET['q']) ei ole kovin hyvä käytäntö
Ei getissä mitään vikaa jos sen hakeman tiedon muistaa asiallisesti tarkistaa.
nimenomaan. ja tuo linkki toimi vielä kun laitoin sen.
Aihe on jo aika vanha, joten et voi enää vastata siihen.