Mass Passwords Changer (MPC) ver. 1.7 Final created by m1chu
MODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection
Informacje:
Do napisania tej modyfikacji zach?ci? mnie unster w tym topicu. Modyfikacja zmienia masowo has?a u?ytkownik?w danego forum i wysy?a do nich maila. A dok?adniej co w niej jest:
- mo?liwo?? konfiguracji nazwy forum, nazwy administratora, adresu e-mail forum (kt?re to zostan? wys?ane do u?ytkownika)
- mo?liwo?? wyboru uniwersalnej d?ugo?ci zmienianych hase?
- mo?liwo?? wyboru od kt?rego u?ytkownika i do kt?rego u?ytkownika zmienia? has?a (po id u?ytkownik?w). Je?li opcje pozostan? puste, wszystkim u?ytkownikom zostan? zmienione has?a. Moim zdaniem wa?na opcja dla du?ych for?w.
- teoretyczna mo?liwo?? zmiany znak?w z kt?rych b?d? sk?ada? si? has?a. Osobi?cie nie zalecam zmienia? funkcji uj?tej w modyfikacji je?li nie jeste? w stu procentach pewien co robisz.
- zabezpieczniem przed brakiem nazwy forum, nazwy admina, adresu e-mail, warto?ci zmienianych id, zmian? rekordu u?ytkownika Anonymous i funkcji mail na serwerze.
- wysy?anie maila do u?ytkownik?w z wiadomo?ci?:
Kod
Witaj, ' . $nazwa_u?ytkownika . ' -
Wysylamy Ci tego maila, poniewaz nastapila masowa zmiana hasel na naszym forum.
Twoje nowe haslo to: "' . $nowe_has?o . '"
Za utrudnienia przepraszamy, administracja
- wy?wietlanie aktualnego dzia?ania na ekranie
Mod dzia?a ca?kiem zgrabnie i po moich testach, wydaje mi si?, ?e dobrze. Ale testujcie i je?li b?dzie co? nie tak - piszcie. Nie testowa?em na du?ych bazach, dlatego mo?e si? wykrzacza? (ale po to jest opcja min_id i max_id, ?eby zmienia? partiami). Jest jeszcze jeden warunek - funkcja mail musi by? on na serwerze bo inaczej modyfikacja od razu zostanie wstrzymana, bo po co zmienia? has?o je?li u?ytkownik i tak nie dowie si? na jakie zosta?o zmienione.
Zmiany: 1.1:
- dodanie (pseudo) zabezpieczenia w postaci blokady modyfikacji (nadal zaleca si? dla pewno?ci wyrzucanie pliku modyfikacji z serwera po wykonaniu zmian!)
1.2:
- zmiana mail(), na smtp (dodanie klasy odpowiadaj?cej za to)
- przerobienie skryptu na potrzebe smtp...
1.3:
- dodanie ponownie funkcji mail() i konfiguracji w pliku, czy modyfikacja ma korzysta? z wbudowanego mail'a(), czy smtp'a()
- sprawdzanie, czy mail (nadawca) ma poprawn? sk?adnie
1.5 Final:
- przebudowanie modyfikacji, konfiguracja z poziomu przegl?darki
- sprawdzanie hostu i portu
- ?adowanie nicku administratora z bazy
- dodanie opcji modyfikacji hase? danej grupie (na ?yczenie qbs'a)
- poprawienie zauwa?onych b??d?w
1.6 Final:
- zwalidowane przez validator.w3.org
- poprawienie b??d?w w kodzie
1.7 Final:
- usuwanie znak?w \ (sql injection) w zmiennych i deklarowanie zmiennych ca?kowitych (sql injection)
- zmiana zabezpieczenia uruchamiania skryptu dla danych adres?w ip (enabled -> adres_ip; disabled -> 127.0.0.1)
[b0]Demo:[/b0]
http://vlo.gotdns.org/~dmx/temporary/mpc.php Uwaga! Opcja mail'owania w demonstracyjnego wersji jest wy??czona. Z prostej przyczyny, nie dzia?a na tamtym serwerze. A chcia?em pokaza? jak to wygl?da...
[b1]Uwagi:[/b1]
Dyskutowa? prosz? w tym temacie.
[b2]Po za tym po zako?czeniu dzia?ania modyfikacji zalecam wyrzucenie pliku z serwera ;][/b2]
[b3]Z pozdrowieniami, m1chu[/b3]
PS: [b4]jest to wersja finalna, ?adnych zmian nie b?dzie ju?, bo s? niepotrzebne. Mia? to by? prosty modzik zmieniaj?cy masowo has?a - jak wida? na ?yczenia, troszk? si? zwi?kszy?. Ewentualne zmiany - to poprawki zauwa?onych b??d?w (mod by? testowany, ale zawsze co? nowego a nu? mo?e si? znale??). O zauwa?onych b??dach prosz? pisa? tutaj.[/b4]
PS2: [b5]zaleca si? aktualizacj? do najnowszej wersji z kwestii bezpiecze?stwa. Poprzednie wersje dzia?aj? prawid?owo, ale nie stosowanie si? do zalecenia usuni?cia pliku po u?yciu modyfikacji mo?e by? przyczyn? usuni?cia lub nadpisania bazy przez niepowo?ane osoby![/b5]
MODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection
Que Passa? Napisa?em, ?e zaleca si? wyrzuci? plik po u?yciu modyfikacji. Btw qbs mo?e napiszesz co? wi?cej, je?li nie chcesz tutaj - prosz? na PW O ile nie sprawi Ci to problemu :]
_________________ ixdude.com i have been waiting, all of my life, for you to come along and make everything all right. my body shaking, right through the bones, so take my by the hand, please don't leave me here alone. and i wonder if you know just how i feel, i feel... yeah... and i wonder how i know it is... it's real... it's real. coz' i want you to save me, just please save me, save me... coz' i need you to save me, just please save me, save me...
Ok nie wiedzia?em, ?e sprawi to taki problem. Dlatego zaznaczy?em, ?e plik nale?y wyrzuci? z serwera po u?yciu moda. Ale ?eby nie by?o nast?pi?y drobne zmiany, mam nadzieje, ?e teraz b?dzie bezpieczniejszy. Prosi?bym jednak o przetestowanie, pod tym adresem. Has?o: m1chu.easyisp.pl/forum. Wszelkie uwagi prosz? pisa? tutaj. Szczeg?lnie o sprawdzenie prosz? qbs'a bo to on jakoby si? do tego przyczyni?. Z g?ry dzi?ki.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
Za treść postów administracja nie odpowiada. W przypadku naruszenia prawa, wszelkie zgromadzone dane o osobie łamiącej prawo, zostaną przekazane odpowiednim władzom. Kopiowanie elementów graficznych oraz rozwiązań technologicznych zastosowanych na niniejszej witrynie surowo wzbronione.
Strona wygenerowana w 0,1 sekundy. Zapytań do SQL: 42