Archief - OTHER: Webapp ASP

Wover · 21 jun 2005

Yow,

Ik heb een applicatie ontwikkeld waarmee je filmkes kan toevoegen aan de database met links en naam etc, het is nog maar een beta versie, maar normaal worden alle fouten opgevangen. Als je toch nog een fout vindt, laat het me dan weten.

http://ccc.1asphost.com/Wover/FilmkesDB/welkom.asp

--> Login: Zwammer, Pass: zwam

Greetz

koebeest · 21 jun 2005

ik zie geen fouten tis goed voor wa hem moet dienen maar er komen steeds popups op, en pimp my bride is super goe

En mss dat omschrijvingsvakje iets groter zetten?

Conslusie: goed voor wa het zal dienen

deadlock · 21 jun 2005

Woverke zei:
normaal worden alle fouten opgevangen.

Klik eens op inloggen zonder iets in te vullen.

Wover · 21 jun 2005

deadlock zei:
Klik eens op inloggen zonder iets in te vullen.

zalk updaten in de volgende versie

@ koebeest, bedoel je bij toevoegen of bij bekijken?

koebeest · 21 jun 2005

Toevoegen

DarkBone · 21 jun 2005

Fout die al eerder werd vermeld bij het inloggen zonder gegevens of met foutieve gegevens... Wtf?

Code:

error '80020009'

Exception occurred.

/Wover/FilmkesDB/controleren.asp, line 20

+ Opletten voor SQL injections, uw input filteren met andere woorden, geef bijvoorbeeld maar gewoon eens een single quote in als gebruikersnaam... zo komen mensen relatief makkelijk dingen te weten over je database etc...

Wover · 21 jun 2005

DarkBone zei:
Fout die al eerder werd vermeld bij het inloggen zonder gegevens of met foutieve gegevens... Wtf?

Code:

error '80020009' Exception occurred. /Wover/FilmkesDB/controleren.asp, line 20

+ Opletten voor SQL injections, uw input filteren met andere woorden, geef bijvoorbeeld maar gewoon eens een single quote in als gebruikersnaam... zo komen mensen relatief makkelijk dingen te weten over je database etc...

bij foutieve gegevens worde normaal teruggestuurd naar welkom.asp met een foutboodschap, en zo'n input filteren, moete da dan manueel doen? Bv If gebruikersnaam = "'","''",... then terugsturen else niks aan de hand?

En hoe kunnen ze zo dingen over de database te weten komen?

deadlock · 21 jun 2005

http://www.sitepoint.com/article/sql-injection-attacks-safe/

Wover · 21 jun 2005

mja ik denk wel ni da mijn loginscript daar last van gaat hebben en bovendien is het niet erg als een user kan inloggen, da's maar gewoon als kleine beveiliging om buitenstaanders niet de kans te geven daar te spammen en om een verschil te maken tussen users en administrators

deadlock · 21 jun 2005

Totdat iemand "drop database" in je inlogschermpje invoert, en je al je data kwijt bent ...

DarkBone · 21 jun 2005

Nu, volgens mij zijt ge veilig van zo'n DROP DATABASE dinges, Access ondersteunt namelijk geen meervoudige queries, en ook geen commentaar (waardoor sommige overtollige tekens weggefilterd zouden kunnen worden).

Wover · 21 jun 2005

en da zou toch ook een fout geven, dan krijgde:

"SELECT * FROM tbl*** WHERE Gebruikersnaam=DROP DATABASE"

bovendien staat de gebruikersnaam tussen quotes: SELECT * FROM tbl*** WHERE Gebruikersnaam='" & ... & "'"

er zijn trouwens ook 2 databases, één voor filmkes, één voor gebruikers; dus als dat al gebeurd, dan ben ik enkel mijn gebruikers kwijt, maar dat zijn er voorlopig toch maar 2

DarkBone · 21 jun 2005

Stel dat ge meerdere queries kunt doen (rood is toegevoegd, is de invoer):

" SELECT * FROM tbl*** WHERE Gebruikersnaam='x'; DROP DATABASE; -- ' "

Wover · 21 jun 2005

DarkBone zei:
Stel dat ge meerdere queries kunt doen (rood is toegevoegd, is de invoer):

" SELECT * FROM tbl*** WHERE Gebruikersnaam='x'; DROP DATABASE; -- ' "

mja idd, maar da kunde dus ni e?

Wover · 22 jun 2005

bon enkele updates waardoor het mogelijk is een filmpje te raten, en waardoor je filmkes.asp kan zien zonder ingelogd te zijn

Nullius · 22 jun 2005

Als je een query kan veranderen, wil dat zeggen dat je zogezegd ook code kunt toevoegen.
Dus als iemand gespecialiseerd in hacken van websites u site is grondig wilt platleggen, dan is dat geen probleem.
Als'm wil, kan hij zonder problemen alles uit uw directory verwijderen en van die dingen.

Dus sowieso ne filter op zetten !
Desnoods doet ge het zo dat een gebruikersnaam geen ' of " mag bevatten en als dat wel zo is, dat hij een fout geeft, maar doe er zeker iets aan !

Och ja ...

Woverke zei:
er zijn trouwens ook 2 databases, één voor filmkes, één voor gebruikers; dus als dat al gebeurd, dan ben ik enkel mijn gebruikers kwijt, maar dat zijn er voorlopig toch maar 2

Je wil toch ook niet dat hij alle paswoorden, emails, ... te weten komt van je gebruikers ?

Het is misschien allemaal ver gezocht want wie wil er nu juist uw site hacken, maar toch gebeurt het dagelijks !

Wover · 22 jun 2005

Nullius zei:
Als je een query kan veranderen, wil dat zeggen dat je zogezegd ook code kunt toevoegen.
Dus als iemand gespecialiseerd in hacken van websites u site is grondig wilt platleggen, dan is dat geen probleem.
Als'm wil, kan hij zonder problemen alles uit uw directory verwijderen en van die dingen.

Dus sowieso ne filter op zetten !
Desnoods doet ge het zo dat een gebruikersnaam geen ' of " mag bevatten en als dat wel zo is, dat hij een fout geeft, maar doe er zeker iets aan !

Och ja ...

Je wil toch ook niet dat hij alle paswoorden, emails, ... te weten komt van je gebruikers ?

Het is misschien allemaal ver gezocht want wie wil er nu juist uw site hacken, maar toch gebeurt het dagelijks !

ik zal er een filter opzetten bij de volgende update

maar geef dan ns wat filterwaarden, dus ' en "", wat nog? komma's enz misschien?

DarkBone · 22 jun 2005

Nullius zei:
Als'm wil, kan hij zonder problemen alles uit uw directory verwijderen en van die dingen.

Via een SQL-query zeker? Ow please...

Trouwens is het risico hier minimaal, ik zou niet weten wat ge mis kunt gaan doen aangezien multiple statements, subqueries en commentaar in Access nie worden toegelaten...

Nullius · 22 jun 2005

DarkBone zei:
Via een SQL-query zeker? Ow please...

Trouwens is het risico hier minimaal, ik zou niet weten wat ge mis kunt gaan doen aangezien multiple statements, subqueries en commentaar in Access nie worden toegelaten...

Euhm ...
als uw sql-query er zo uitziet:
"SELECT username, password FROM users WHERE username='" & UserName & "' AND password='" & PassWord & "';"

Ge vult als username dit in: ' or 1=1
Als paswoord hetzelfde
en ge voegt eventueel wa voorwaarden toe zoals beperkingen op de username (zoals alles met 'admin' ofzo of als ge de naam weet van de admin, dan vult ge die gewoon in bij username).
Zo kunt ge zonder problemen inloggen als admin en kunt ge alles aanpassen via het admincenter.

In PHP (in ASP weet'k het niet) kan je bv ook uw lijn 'afmaken' door uw quote (met ' of " dus) af te sluiten en dan een punt komma.
Dan kan je naar behoeven zelf commando's bijschrijven, dus dan kan je zo alle php-commando's gebruiken.
In PHP wordt dit door interne functies soms beveiligd, maar als de server die heeft uitgeschakeld, kan dat allemaal !
In ASP wordt een code-regel afgesloten door een nieuwe lijn toe te voegen of gewoon het teken \n dus.
Daarom zou ik denken dat je ook alle ASP commando's dus kan gebruiken (en zo dus directories kan wijzigen, verwijderen etc ...)

De kans is inderdaad klein dat iemand dit doet, maar het is dus allemaal mogelijk en risico's moet je toch beperken.

DarkBone · 22 jun 2005

Het klopt nie hoor wat je zegt, meerbepaald dit is compleet fout:

In PHP (in ASP weet'k het niet) kan je bv ook uw lijn 'afmaken' door uw quote (met ' of " dus) af te sluiten en dan een punt komma.
Dan kan je naar behoeven zelf commando's bijschrijven, dus dan kan je zo alle php-commando's gebruiken.
In PHP wordt dit door interne functies soms beveiligd, maar als de server die heeft uitgeschakeld, kan dat allemaal !
In ASP wordt een code-regel afgesloten door een nieuwe lijn toe te voegen of gewoon het teken \n dus.
Daarom zou ik denken dat je ook alle ASP commando's dus kan gebruiken (en zo dus directories kan wijzigen, verwijderen etc ...)

Gij denk dus dat een invoer zoals dit: '; echo "lol"; ook effectief lol zou afdrukken? Dan maakt ge een serieuze denkfout zenne. Alles wat jij ingeeft wordt alls string toegevoegd aan de bestaande string (die SQL code bevat). Op zijn geheel zal dat dus als string beschouwd worden.

Zal het nu nie verder uitleggen ,want ik moet blokken.

Trouwens, dat van 1 = 1 zou nie werken, aangezien er nog een quote na komt, maar probeer dit trucje dan eens uit ' OR 'x'='x voor zowel username als password... ça ne marche pas

En waarom?
Waarschijnlijk gebeurt er een SELECT van het password op basis van de username.
En pas daarna controleert hij via ASP of de passwords gelijk zijn. Met andere woorden, der wordt waarsschijnlijk geen AND gebruikt in de WHERE-clausule.

Tot zover een stukje reverse engineering

Archief - OTHER: Webapp ASP

Wover

Legacy Member

koebeest

Legacy Member

deadlock

Legacy Member

Wover

Legacy Member

koebeest

Legacy Member

DarkBone

Legacy Member

Wover

Legacy Member

deadlock

Legacy Member

Wover

Legacy Member

deadlock

Legacy Member

DarkBone

Legacy Member

Wover

Legacy Member

DarkBone

Legacy Member

Wover

Legacy Member

Wover

Legacy Member

Nullius

Legacy Member

Wover

Legacy Member

DarkBone

Legacy Member

Nullius

Legacy Member

DarkBone

Legacy Member