Програмысли

Простая, но страшная уязвимость - значения по умолчанию

19 Сентября 2008 Безопасность
2 0

У меня на всех сайтах есть один и тот же файл, который рисует капчу и таким образом, гарантирует, что сообщения оставляются именно человеком, а не компьютером. Но я допустил одну маленькую ошибку, благодаря которой все мои усилия пошли прахом, а обойти защиту стало очень просто. Как все произошло? Банальная забывчивость сделать значение по умолчанию. Я прекрасно знаю о таких проблемах и тут сам попался на банальную ошибку. Ну ничего, это будет мне лишним уроком на будущее.

На сайте есть форма для ввода сообщения и при ее генерирования вызывается PHP файл, который рисует капчу и сохраняет в сессии нарисованный код. Казалось бы, из сессии код вычислить невозможно, но спамерам оказалось это и не нужным. Достаточно всего лишь создать форму у себя на компьютере и перенаправить ее так, чтобы он отправляла результат скрипту на сайте. При этом убирается ссылка на капчу, а значит, сценарий не сохранит в сессии ничего и секретный код будет пустим.

Мой сценарий на сервере производит проверку: 

if (Секретный код из сессии == То, что прислал юзер)
{
 Все прекрасно
}

Так как файл рисования капчи не вызывался, левая часть условия пустая. Хакеру или спамеру остается только передать пустое значение в параметре, который должен был бы содержать капчу, и любой мат попадал в базу. Проблема решается двумя способами. Первый – подправить проверку на пустое значение, ведь нарисованный код не может и не должен быть пустым:

if (Секретный код из сессии == То, что прислал юзер && 
     Секретный код из сессии !="")
{
 Все прекрасно
}

Я предпочитаю глобально решать проблему, поэтому у меня есть файл безопасности, который подключается везде. Достаточно там прописать значение по умолчанию:

if (Секретный код из сессии =="")
{
 Секретный код из сессии ="AAAA"
}

Теперь, если хакер или спамер отправит мне форму без обращения к файлу рисования капчи и секретный код в сессии останется пустым, я его меняю на нереальный и проверка не пройдет.

Я не стесняюсь своих ошибок, я даже люблю их, потому что они очень хорошо учат и теперь надолго заставят меня быть внимательнее с такой детской проблемой, как значение по умолчанию. Надеюсь, что научат и тебя, потому что учиться лучше не на своих ошибках, а на чужих :).

Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым

Комментарии

plaha

21 Сентября 2008

Нормально безопасность самое главное, а то спамеры будут засорять бд.

Kvl

25 Августа 2012

А при втором способе решения проблемы юзер не может прислать код "AAAA" и обойти?

Добавить Комментарий
Добавить комментарий

Linux глазами хакера 2-е издание появилось!!! Я не думаю, что она реально есть в продаже, скорее она появится через неделю, но заказать уже можно. Во втором издании я исправил косяки, добавил диск с документацией и обновил информацию с учетом современных реалий.

Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описано базовое администрирование и управление доступом, настройка Firewall, файлообменный сервер, WEB-, FTP- и Proxy-серверы, программы для доставки электронной почты, службы DNS, а также политика мониторинга системы и архивирование данных. Приведены потенциальные уязвимости, даны рекомендации по предотвращению возможных атак и показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных. Во втором издании материал существенно переработан и дополнен новой информацией в соответствии с современными реалиями. На компакт диске находится дополнительная документация и программы в исходных кодах.

Linux глазами хакера 2-е издание

Заметку на эту тему я пишу уже во второй раз, потому что первый вариант потерялся из-за проблем с коннектом. Как назло, последнюю резервную копию базы я делал в пятницу вечером, а данную заметку написал в субботу. Так как два раза написать одно и то же нереально, то это будет что-то похожее на то, что я уже написал, но в то же время, что-то новое. А на будущее, я постараюсь быть аккуратнее и не терять свои мысли.

Итак, сегодня я хочу поговорить о фильме «Путешествие к центру земли», который я недавно посмотрел в кинотеатре. Я люблю компьютерные эффекты, и люблю фильмы с красивыми съемками, но в данном случае, я считаю, что компьютерные эффекты испортили фильм. Нет, они вполне хорошие и вполне качественные, но им уделили слишком большое внимание, даже излишнее, а игра актеров оказалась на втором плане и далека от идеала.

Единственный, кто отыграл на все сто процентов – мой любимый Брендан Фрейзер. Он просто идеален и единственный из актеров, кто играл из трех главных героев. Второй из главных героев Анита Брием играла намного хуже, но там, где она играла плохо, можно было с удовольствием наблюдать за ее прекрасными формами и милым личиком. А что поделаешь, если я мужчина, и люблю красоту и восхищаюсь ею, особенно женской красотой. Имею право, тем более что жена сидела рядом и наслаждалась фильмом. Надеюсь, что именно фильмом, а не Бренданом Фрейзером :).

Компьютеры портят кино

Сегодняшняя рецензия снова будет не о компьютерной книге, а о работе Дэна Брауна - книге Код Да Винчи. Раз уж пошла такая пьянка и при общении по книге Ангелы и Демоны мы все же затронули код, нужно высказать полноценное мнение. Тут реально раз сказал А, придется говорить и Б.

Итак, я сто лет не читал художественной литературы и в основном только компьютерную. Пусть не всю читаю полностью, но раньше я покупал много компьютерных книг. Когда я приехал в Питер, то заказал для жены здесь на books.ru Код Да Винчи. Заказ пришел как раз в тот момент, когда моя жена уехала в Ростов на целый месяц, а я со скуки решил почитать код. Не помню почему, но настроения работать не было. И кто знал, что меня так затянет и после этого я прочитаю все книги Брауна. Хотя нет, одна еще осталась не прочитанной. Не помню, как называется, но ее можно купить только через каталог Мир Книги и это самая старая и ужасная его работа (как я слышал).

Рецензия: Код Да Винчи

Сегодня на одном из форумов увидел, как народ хвастается своими рабочими столами с компьютерами и ноутбуками и захотелось похвастаться своим. Хочу, но не могу, потому что у меня стола нет уже года 4 точно, с того момента, как я купил свой первый ноутбук Fujitsu-Siemens (будь проклят тот день, когда я сел за клавиатуру этого пылесоса) серии AMILO, кажется 6820. Бук этот уже умер и валяется в шифонере на будущие запчасти. С него уже снята клавиатура, и он лишился блока питания и он может быть только донором.

Что-то я ушел от темы. С тех пор, как я сел за ноутбуки, у меня нет рабочего стола. У меня была рабочая кровать, а сейчас рабочий диван, на котором я сижу/лежу или нахожусь в другой неестественной позе и работаю. С появленеим дома WiFi точки, я вообще перестал быть привязанным к определенному месту, но привычка лежать на диване с ноутбуком не отпала. Так что мне теперь фотографировать диван? Не очень эстетичное рабочее место! Недавно купил в IKEA журнальный столик и стал больше времени проводить на нем, но и его трудно назвать рабочим местом для фотографии. Единственное место, похожее на рабочее находится на работе. Вот его я могу показать:

Рабочее место программиста и бывшего писателя

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне

Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.

А здесь еще и копирайт поставлю: Professional Web Development.