"Bezbednost" domaćih sajtova

[Geomaster]

Nigde nisam našao gde može da se piše o bezbednosti na Internetu, pa zato pišem ovde, sa obzirom da ovo što hoću da kažem ima veze sa neveštim web developmentom.

Sinoć sam hteo da pogledam ima li nešto o takmičenjima iz fizike i pozvanim učesnicima na njihovom sajtu. Otkucam u Google "Društvo fizičara Srbije i nađem sajt. Pročešljam malo po njemu, nisam našao ono što mi je trebalo, ali nema veze. Međutim, ono što mi je privuklo pažnju bila je gomila otvorenih direktorijuma na serveru - to jest, nije postojala index strana za njih pa je server prikazivao sadržaj tih direktorijuma. Sad - to ne bi bilo toliko strašno - da u jednom od direktorijuma nije backup SQL baze podataka od 23.11.2007. U njemu se, naravno, nalazi konstrukcija svih tabela, naziv baze podataka i sličnog. Evo citata iz tog backup-a:

Kod:

-- phpMyAdmin SQL Dump
-- version 2.11.2
-- http://www.phpmyadmin.net
--
-- Host: localhost
-- Generation Time: Nov 23, 2007 at 06:39 PM
-- Server version: 5.0.45
-- PHP Version: 5.2.4

SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";

--
-- Database: `dfs`
--

-- --------------------------------------------------------

--
-- Table structure for table `new_clanak`
--

CREATE TABLE IF NOT EXISTS `new_clanak` (
  `id` bigint(11) unsigned NOT NULL auto_increment,
  `cat_id` bigint(11) unsigned NOT NULL default '0',
      .....
  `expire` bigint(11) unsigned NOT NULL default '0',
  `status` enum('ok','obrisan','draft') NOT NULL default 'draft',
  PRIMARY KEY  (`id`),
  KEY `cat_id` (`cat_id`),
  KEY `publish` (`publish`),
  KEY `status` (`status`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=20 ;

--
-- Dumping data for table `new_clanak`
--
INSERT INTO `new_clanak` (`id`, `cat_id`, `title`, `short`, `text`, `autor_id`, `autor_name`, `autor_name_show`, `created`, `publish`, `publish_show`, `expire`, `status`) VALUES

itd.

E sada, osim ovoga što sam kopirao ovde, tu se nalaze i e-mailovi koje su korisnici slali adminima sajta, ili kome već, i tabela koja se zove new_users i čija su polja:

Kod:

CREATE TABLE IF NOT EXISTS `new_users` (
  `id` bigint(11) unsigned NOT NULL auto_increment,
  `email` varchar(40) NOT NULL default '',
  `pass` varchar(32) NOT NULL default '',
  `paidto` bigint(11) unsigned NOT NULL default '0',
  `join_time` bigint(11) unsigned default '0',
  `last_login` bigint(11) unsigned default '0',
  `status` enum('unregistered','new','ok','bad','deleted') NOT NULL default 'unregistered',
  `class` tinyint(3) unsigned NOT NULL default '0',
  `name_on_site` varchar(43) NOT NULL default '',
  `first_name` varchar(20) NOT NULL default '',
  `family_name` varchar(20) NOT NULL default '',
  PRIMARY KEY  (`id`),
  UNIQUE KEY `email` (`email`),
  KEY `email_2` (`email`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=3 ;

I naravno, dump podataka iz te tabele. Tu je bio MD5 (ili MD4?) hash passworda dva administratora. Kada bismo znali u kom obliku se pojavljuju cookies na tom sajtu, možda bismo mogli da se ulogujemo kao admini (sve zavisi da li se koristi session id ili sl.). Pošto vidim da se i emailovi šalju preko te baze podataka, ne bi bilo teško nekom h4x0ru da u email upiše nešto tipa:

Kod:

'; DROP TABLE new_clanak; DROP TABLE new_users;--

Kada bi se taj kod executovao, to bi bila prava katastrofa. Ovo je čist primer kako ne treba praviti sajtove.

Moje pitanje vama glasi - šta mislite, da li je ovako nešto primereno Društvu fizičara Srbije? Zamislite da su u toj SQL tabeli bili, recimo, poeni sa nekih takmičenja, ili pozvani učenici na republičko takmičenje. U tom slučaju bi neko mogao samo da u email ostavi jednu INSERT INTO naredbu i mogao bi sebe da ubaci na taj spisak. Toliko o bezbednosti.

[pyost]

Njihov sajt, iako prilicno posecen, s obzir da sadrzi dosta korisnik informacija, je vec nekoliko godina takav... Sto je prosto sramotno. Ali ne bih ovo ogranicio na domace sajtove, jer sam siguran da ovakvih bisera ima svuda po svetu.

[water wizard]

Pa, ajde da vidimo ko je najbolji fizičar, kao u filmu

Nego, to sa rupama u skriptu nije ništa novo, sad neko baš da se reši mogao bi svašta da napravi, zato, nemoj da te to zabrinjava više od drugih stvari

[EclipsE]

shto neka banka nema tako nezashticen sajt

[bSecurity]

Znas kako kazu koliko para toliko i muzike uvek bilo i bice takvih propusta, kad malo bolje pogledas skoro svaki nas sajt pogotovo drzavnih organa imaju bagova preko kojih mozes neku manju stetu da nacinis tipa izmena stranice i slicno, nije to samo kod nas tako je svugde kod onih koji ne vode racuna o bezbednosti web aplikacije i bezbednosti servera.

[el_corona]

@Geomaster
Nadam se da si do sada kontaktirao nekog od eventualnih admina da im prijavis sigurnosni propust. Nisi bas morao da dajes hint kako doci do tog sajta preko googlea a i ime same baze se vidi iz tvog citata. Sreca pa je to stariji log i sto nema nekih kompromitujucih podataka. Eto vidis i ja sam pogledao tu bazu u celini i mogu da kazem da je baza ok, ali sa dizajnerske strane taj sajt nije bas odradjen na visem sigurnosnom nivou. Ali kao sto bSecurity rece:

Citat:

koliko para toliko i muzike

Mozda je to neko odradio "u hodu" jer nije imao neko drugi ili se nije imalo kesa za nesto bezbedno i fancy. Jbg, sta je tu je. Valjalo bi kontaktirati admine tog sajta (da ga ne pominjem koji je), pa makar to uradio neko od SK glavesina jer ja nemam nameru, zato sto ja nisam otkrio taj propust, vec samo potvrdjujem da postoji.