Poprzedni temat :: Następny temat |
m1chu Wysłany: Czw 20 Lip, 2006 |
|
|
Mass Passwords Changer (MPC) ver. 1.7 Final created by m1chu
MODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection
Informacje:
Do napisania tej modyfikacji zach?ci? mnie unster w tym topicu. Modyfikacja zmienia masowo has?a u?ytkownik?w danego forum i wysy?a do nich maila. A dok?adniej co w niej jest:
- mo?liwo?? konfiguracji nazwy forum, nazwy administratora, adresu e-mail forum (kt?re to zostan? wys?ane do u?ytkownika)
- mo?liwo?? wyboru uniwersalnej d?ugo?ci zmienianych hase?
- mo?liwo?? wyboru od kt?rego u?ytkownika i do kt?rego u?ytkownika zmienia? has?a (po id u?ytkownik?w). Je?li opcje pozostan? puste, wszystkim u?ytkownikom zostan? zmienione has?a. Moim zdaniem wa?na opcja dla du?ych for?w.
- teoretyczna mo?liwo?? zmiany znak?w z kt?rych b?d? sk?ada? si? has?a. Osobi?cie nie zalecam zmienia? funkcji uj?tej w modyfikacji je?li nie jeste? w stu procentach pewien co robisz.
- zabezpieczniem przed brakiem nazwy forum, nazwy admina, adresu e-mail, warto?ci zmienianych id, zmian? rekordu u?ytkownika Anonymous i funkcji mail na serwerze.
- wysy?anie maila do u?ytkownik?w z wiadomo?ci?:
KodWitaj, ' . $nazwa_u?ytkownika . ' -
Wysylamy Ci tego maila, poniewaz nastapila masowa zmiana hasel na naszym forum.
Twoje nowe haslo to: "' . $nowe_has?o . '"
Za utrudnienia przepraszamy, administracja
- wy?wietlanie aktualnego dzia?ania na ekranie
Mod dzia?a ca?kiem zgrabnie i po moich testach, wydaje mi si?, ?e dobrze. Ale testujcie i je?li b?dzie co? nie tak - piszcie. Nie testowa?em na du?ych bazach, dlatego mo?e si? wykrzacza? (ale po to jest opcja min_id i max_id, ?eby zmienia? partiami). Jest jeszcze jeden warunek - funkcja mail musi by? on na serwerze bo inaczej modyfikacja od razu zostanie wstrzymana, bo po co zmienia? has?o je?li u?ytkownik i tak nie dowie si? na jakie zosta?o zmienione.
Zmiany:
1.1:
- dodanie (pseudo) zabezpieczenia w postaci blokady modyfikacji (nadal zaleca si? dla pewno?ci wyrzucanie pliku modyfikacji z serwera po wykonaniu zmian!)
1.2:
- zmiana mail(), na smtp (dodanie klasy odpowiadaj?cej za to)
- przerobienie skryptu na potrzebe smtp...
1.3:
- dodanie ponownie funkcji mail() i konfiguracji w pliku, czy modyfikacja ma korzysta? z wbudowanego mail'a(), czy smtp'a()
- sprawdzanie, czy mail (nadawca) ma poprawn? sk?adnie
1.5 Final:
- przebudowanie modyfikacji, konfiguracja z poziomu przegl?darki
- sprawdzanie hostu i portu
- ?adowanie nicku administratora z bazy
- dodanie opcji modyfikacji hase? danej grupie (na ?yczenie qbs'a)
- poprawienie zauwa?onych b??d?w
1.6 Final:
- zwalidowane przez validator.w3.org
- poprawienie b??d?w w kodzie
1.7 Final:
- usuwanie znak?w \ (sql injection) w zmiennych i deklarowanie zmiennych ca?kowitych (sql injection)
- zmiana zabezpieczenia uruchamiania skryptu dla danych adres?w ip (enabled -> adres_ip; disabled -> 127.0.0.1)
[b0]Demo:[/b0]
http://vlo.gotdns.org/~dmx/temporary/mpc.php
Uwaga! Opcja mail'owania w demonstracyjnego wersji jest wy??czona. Z prostej przyczyny, nie dzia?a na tamtym serwerze. A chcia?em pokaza? jak to wygl?da...
[b1]Uwagi:[/b1]
Dyskutowa? prosz? w tym temacie.
[b2]Po za tym po zako?czeniu dzia?ania modyfikacji zalecam wyrzucenie pliku z serwera ;][/b2]
[b3]Z pozdrowieniami, m1chu[/b3]
PS: [b4]jest to wersja finalna, ?adnych zmian nie b?dzie ju?, bo s? niepotrzebne. Mia? to by? prosty modzik zmieniaj?cy masowo has?a - jak wida? na ?yczenia, troszk? si? zwi?kszy?. Ewentualne zmiany - to poprawki zauwa?onych b??d?w (mod by? testowany, ale zawsze co? nowego a nu? mo?e si? znale??). O zauwa?onych b??dach prosz? pisa? tutaj.[/b4]
PS2: [b5]zaleca si? aktualizacj? do najnowszej wersji z kwestii bezpiecze?stwa. Poprzednie wersje dzia?aj? prawid?owo, ale nie stosowanie si? do zalecenia usuni?cia pliku po u?yciu modyfikacji mo?e by? przyczyn? usuni?cia lub nadpisania bazy przez niepowo?ane osoby![/b5]
Tutaj znajduje si? instrukcja instalacji modyfikacji
Has?o: [b6]m1chu.easyisp.pl/forum[/b6] |
|
Beg For Mercy Wysłany: Czw 03 Sie, 2006 |
|
|
dzieki sparwdze se tego moda :) |
|
unster Wysłany: Czw 03 Sie, 2006 |
|
|
W paczce brakuje pliku mpc_ng.php o ktory upomina sie skrypt.
Jesli ktos ma ten plik prosze o przeslanie go na maila: fuzzy@qzone.pl z gory thx |
|
m1chu Wysłany: Nie 06 Sie, 2006 |
|
|
qbs napisał/aMODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection
Que Passa? Napisa?em, ?e zaleca si? wyrzuci? plik po u?yciu modyfikacji. Btw qbs mo?e napiszesz co? wi?cej, je?li nie chcesz tutaj - prosz? na PW :D O ile nie sprawi Ci to problemu :] |
|
qbs Wysłany: Nie 06 Sie, 2006 |
|
|
http://jacekk.info/?id=articles&s=see&n=3 |
|
m1chu Wysłany: Nie 06 Sie, 2006 |
|
|
Ok nie wiedzia?em, ?e sprawi to taki problem. Dlatego zaznaczy?em, ?e plik nale?y wyrzuci? z serwera po u?yciu moda. Ale ?eby nie by?o nast?pi?y drobne zmiany, mam nadzieje, ?e teraz b?dzie bezpieczniejszy. Prosi?bym jednak o przetestowanie, pod tym adresem. Has?o: m1chu.easyisp.pl/forum. Wszelkie uwagi prosz? pisa? tutaj. Szczeg?lnie o sprawdzenie prosz? qbs'a bo to on jakoby si? do tego przyczyni?. Z g?ry dzi?ki. |
|
Arek Wysłany: Sob 30 Wrz, 2006 |
|
|
Link ju? nie dzia?a :/ |
|
|
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
|