Sup3rn4tural küldte a következőt:
Hali! Minap nézelődtem a CBA weboldalán és elég egyszerűen sikerült bejutnom, a webáruházuk admin felületére. (Egyszerű sql injection, amit bárki meg tud csinálni..) A jelszavak md5 ben vannak tárolva, körülbelül 30 "admin" felhasználó van. Egy felhasználó van aki mindent tud szerkeszteni. Minden sql ismeret nélkül is ki lehet találni, mivel a felhasználónév és jelszó: iXXXXXXXXXa/cXXXXX4
A CBA-nak október 14-én jeleztem a problémát, válasz nem jött :(
kino 2011.10.21. 14:30:30
most tuti, hogy escape-eli a '-t
Joe80 2011.10.21. 15:55:37
buherator · http://buhera.blog.hu 2011.10.21. 15:57:48
FYI: a magic_quotes_gpc egy látszatintézkedés, csomó esetben nem ér semmit, vagy megkerülhető.
sghctoma · http://sghctoma.extra.hu 2011.10.21. 18:23:41
Joe80 2011.10.21. 18:29:10
buherator · http://buhera.blog.hu 2011.10.21. 18:35:42
Triviálisan pl.:
mysql_query('select * from t where id=$userInput')
Ilyenkor nem kellenek aposztrófok egyáltalán. 'SQL Smuggling'-ra érdemes még guglizni.
euAgWzgmmtq7K 2011.10.21. 18:38:49
k4rdhal 2011.10.22. 09:21:04
webshop.cba.hu/ProductTree.php?CategoryID=273%27
Egyébként még xss-re is van lehetőség! :)
kino 2011.10.22. 13:58:58
Nem tudok rájönni, hol a trükk, az admin felületre egyszerűen nem ereszt be, pedig szerintem be kéne :)
Azért néhány dolgot UNION-nal kiderítettem, de túl sokra nem megyek vele.
Joe80 2011.10.22. 19:51:26
Joe80 2011.10.22. 19:54:27
buherator · http://buhera.blog.hu 2011.10.22. 20:02:25
Akkor leírom én is még egyszer: a magic quotes a biztonság látszatát kelti, mivel attól, hogy be van kapcsolva, még lehet SQLi-s kódot írni. Remélem így érthető!
CConstantine · http://www.xenu.net 2011.10.25. 22:14:00