Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: tietoturvani

Sivun loppuun

mika132 [19.06.2011 02:28:24]

#

Haluan että ystävälliset ihmiset yrittävät erillaisia hakkerointi menetelmiä joita osaavat sivustooni ja kertovat jos pääsevä lävitse ja myös sen että miten pääsi lävitse, jotta voisi korjata. =)

Linkki sivustooni

Minulla ei ole rahaa maksaa hakkereille palkkaa, että etsivät tietoturvaukkoja, mutta toivon, että mahdollissimman monta aukkoa saisin tukittua näinkin. Ohjelmointiputkan jäsenten avulla. Itse en osaa hakkeroida joten tietoturva vähän hukassa jotain perusjuttua osaan, mutta en tiedä olenko onnistuneesti niitäkään kaikkia tukkinut. :)

-tossu- [19.06.2011 12:32:59]

#

Sivuston lähdekoodi kannattaa julkaista, mikäli haluat mahdollisimman monen tutkivan sivustosi tietoturvaa.

Deffi [19.06.2011 15:05:21]

#

Rikki o

http://tehogames.com/?q=Laheta&id=35 and 1=2 union select 1,2,concat(0x223e,Käyttäjä,0x202d20,Email,0x202d20,Salasana),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50 from Kayttajat limit 0,1--

Ei ole perusjututkaan hallussa. Tarkista syötteet ennen kuin lyöt ne osaksi sql-kyselyitä. Tai vielä parempi, käytä PDO:ta.

mika132 [19.06.2011 15:25:33]

#

Voisit käyttää myös jotain parempaa tiivistealgoritmia. '***' on huono salasana ylläpitäjälle ja älä käytä samoja salasanoja eri palveluissa.

Mod. piilotti salasanan. Viesti on krakkerin kirjoittama.

Grez [19.06.2011 15:29:39]

#

Tässä on nyt mielestäni aivan nurinkurinen lähtökohta. Turvallisuutta ei tehdä niin, että tehdään tietoturvaton palvelu ja sitten korjaillaan aukkoja sitä mukaa kun niitä löytyy.

Aloituspostauksen perusteella luulin, että nyt olisi tehty systeemi parhaita turvakäytäntöjä noudattaen ja haluttaisiin vaan tuplavarmennus. Harmikseni huomaan, että asia ei ollutkaan niin.

Teuro [19.06.2011 15:38:49]

#

Toisten salasanojen levittäminen ei ehkä ole tämän langan tarkoitus? Vaikka murtaminen olisikin helppoa, niin tuon voisi editoida pois?

Grez [19.06.2011 15:39:51]

#

mika132:n tunnuksella kirjautunut kirjoitti:

Voisit käyttää myös jotain parempaa tiivistealgoritmia.

Ei kai tiivistealgoritmissa sinänsä ole mitään vikaa, mutta suolaa olisi syytä käyttää.

Jokotai [19.06.2011 22:01:41]

#

Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. Tämä on todella suuri riski, koska tämän aukon hyödyntämiseen ei tarvita edes kovin 1337H4x0r5ki11z. Tekniikka on vapaasti jaossa ja yleisesti tiedossa.

Mizou [19.06.2011 22:53:32]

#

Jokotai kirjoitti:

Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. ...

Mitäs luulet Deffin tehneen :)? Ei toki kirjautumisessa, mutta kuitenkin.

Jokotai [19.06.2011 23:12:30]

#

Mizou kirjoitti:

Jokotai kirjoitti:

Kun kokeilen SQL injektiota kirjautumiseen niin tulee: Error in query.
Saattaa merkitä, että sivustosi on injektoitavissa. ...

Mitäs luulet Deffin tehneen :)? Ei toki kirjautumisessa, mutta kuitenkin.

tosiian, injektiohan se siinä

tkok [19.06.2011 23:33:26]

#

Voisko ylläpito poistaa ton "sala"sana-viestin, kun kerta on spostissa ja muissa palveluissa henkilöllä käytössä...

Grez [19.06.2011 23:45:15]

#

No voithan poistaa sen itsekin. :D

Sitten täytyisi poistaa myös tuo aikaisempi linkki, koska siitähän sen näkee myös. Itse suosittelisin kyllä että mika pikapikaa ottaa käyttöönsä eri salasanat joka saitille.

http://xkcd.com/792/

mika132 [20.06.2011 01:47:13]

#

Voisitteko olla kirjoittamatta minun tunnuksella (tai vaihdoin saliksen jo mutta niin ylläpitovoisi poistaa nuo vistit?) Tuo salasana viesti ja sitten tuo
"joo komppaan kyllä tota eri salasanojen käyttöä"


Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:

$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')

Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.

Grez [20.06.2011 02:07:50]

#

Voithan muokata nuo itsekin pois.

Tai kyllä ylläpitokin muokannee jossain välissä, mutta jos ne on vaikka kesälomalla, niin ei kannattane turhaan odotella.

lainaus:

Eikös tuota on lähes mahdoton avata enää solmusta.

No riippuu salasanasta. Jos tuon suolan saa selville ja on helppo salasana, niin lähes triviaalia brute forcettaa. Mutta toki parempi kuin nykysysteemi. Ja pääkäyttäjänhän nyt kannattaisi kaikissa tilanteissa laittaa salasana, joka on vaikeampi.

Itselläni on mahdollisuuksien mukaan joka paikassa tämäntyylinen salasana:
6k,PHASvmT8j2o2mnW[WEZ

Ja siis tietenkin, joka saitilla eri salasana, niinkuin jokainen edellisen linkkini tsekannut ymmärtää tehdä.

Valitettavasti on jotain idioottimaisia saitteja, jotka ei salli yli tietyn pituista salasanaa. Koomisin tähän mennessä ollu max 8 merkkiä.

The Alchemist [20.06.2011 08:26:07]

#

mika132 kirjoitti:

Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:

$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')

Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.

Kyse ei ole kryptaamisesta vaan hashaamisesta eli tiivistämisestä. Kryptaus eli salaaminen on kaksisuuntainen operaatio, tiivistäminen yksisuuntainen. Yksisuuntaisuus tarkoittaa sitä, ettei annetusta tiivisteestä voi mitenkään yksinkertaisesti päätellä alkuperäistä merkkijonoa.

timoh [20.06.2011 09:30:11]

#

mika132 kirjoitti:

Miten mahtaisi toimia salasanojen kryptaus systeemit tälläisellä koodilla:

$salasana_kryptataan = crypt($salasana, '$2a$09$SalainenNSUOLa12029321')

Eikös tuota on lähes mahdoton avata enää solmusta. Jos oikein oppaan ymmärsin josta tuon luin se kryptaa sen niin solmuun, että sitä ei saa millään auki.

Tuo on periaatteessa pohjimmiltaan hyvä alku. Olettaen että luot suolan oikein jne. Mutta en usko että olisi mitään syytä olla käyttämättä phpass:ia:
http://www.openwall.com/phpass/

Tuo "kirjasto" hoitaa salasanojen käsittelyn ja jättää oikeastaan sinun kontollesi pelkästään sen huolen, että salasanasi/salalauseesi eivät ole liian heikkoja.

Nopea alustus käyttöönotosta:
http://dev.myunv.com/articles/secure-passwords-with-phpass/

mika132 [20.06.2011 19:29:16]

#

Enää ei pitäisi kenenkään päästä admin hallintapaneeliin millään konstilla.

Lisäksi lomakekenttien tietoja käsitellään nyt eritavalla joten näidenkään kautta ei pitäisi päästä yhtään mihkään? Testatkaa.

ja salasanojen ei pitäisi enää näkyä missään.

Kertokaahan jos löydätte vielä aukkoja. =)


Edit:
Lisäksi tein palvelimen vaihto eston. Eli ei pitäisi pystyä kääntämään palvelin viestejä eri suuntiin. En osaa selittää oikein mutta ymmärrätte varmaan ja voitte yrittää jos osaatte kääntää tietoja eri suuntiin.

tuutti [20.06.2011 22:18:24]

#

Upload scripti imee kaikki tiedostot (php mukaan lukien), eikä sitä oo suojattu millään tavalla. Upload kansiossa txt tiedosto missä SQL tunnukset yms.

mika132 [21.06.2011 01:10:39]

#

enää ei pitäisi sekään imeä mitään. Onko muita aukkoja vielä löytynyt? Admin paneelinkin lukitsin kunnolla ellei joku jo ehtinyt sitä tuon php scripti bugin takia murtamaan.

jo123 [21.06.2011 01:22:09]

#

Sivu ei muuta teekkään kun heittää erroria...

mika132 [21.06.2011 01:27:31]

#

Mistähän erroria löysit? Kyseessä on siis bugeja jotka tuli kun muutin PDO tyyliin ja sivusto on vielä hieman "sekaisin". :D

samip [21.06.2011 06:58:33]

#

http://tehogames.com/?q=admin/index

include($_GET['q']) ei ole kovin hyvä käytäntö

Petja [21.06.2011 08:49:31]

#

Samip'n linkki ohjaa jouluserver.comin servulle ja palauttaa 404.

The Alchemist [21.06.2011 09:44:58]

#

Varmaan web-hotellin tarjoaja kyllästyi jatkuviin väärinkäytöksiin ja otti sivut alas?

Olli [21.06.2011 09:47:52]

#

Jouluserver on lopetettu ajat sitten (ja se johtui palvelinrikosta - ei väärinkäytöksistä).

Petja [21.06.2011 13:32:41]

#

Tiedän kyllä, että jouluserver lopetettiin aikanaan siellä kun olin. Mutta ajattelin vain muistuttaa, että turha linkkiä on laittaa, kun ei johda loppujen lopuksi mihinkään.

dartvaneri [22.06.2011 01:51:42]

#

samip kirjoitti:

http://tehogames.com/?q=admin/index

include($_GET['q']) ei ole kovin hyvä käytäntö

Ei getissä mitään vikaa jos sen hakeman tiedon muistaa asiallisesti tarkistaa.

samip [22.06.2011 04:43:37]

#

dartvaneri kirjoitti:

samip kirjoitti:

http://tehogames.com/?q=admin/index

include($_GET['q']) ei ole kovin hyvä käytäntö

Ei getissä mitään vikaa jos sen hakeman tiedon muistaa asiallisesti tarkistaa.

nimenomaan. ja tuo linkki toimi vielä kun laitoin sen.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta