00
עדכונים

מנוי במייל

קבלת עדכונים על רשומות חדשות ישירות לתיבת האמייל
יש להזין אימייל תקין על מנת להרשם לעדכונים
ברגעים אלו נשלח אליך אימייל לאישור/ביטול ההרשמה
*שים/י לב, מרגע עשית מנוי, כותב/ת הבלוג יוכל לראות את כתובת האמייל שלך ברשימת העוקבים.
X

ailaGblog (beta) (p‎u‎z)‎

אחד הדברים הכי מטומטמים שאפשר לעשות באתר

אני לא אגלה איזה אתר, כי בינתיים הפרצה עדיין קיימת ויכולה להזיק גם לי.
עריכה והבהרה: זה לא תפוז, זה לא אתר ישראלי ורוב הסיכויים שאתם לא מכירים אותו. הרשומה נועדה להסיק מסקנות, לא לצחוק על אתרים. אם כי..

אתר כלשהו. מבוסס ASP וכנראה שמתחת לזה פועל מנוע פייתון.
מסתברשהוא שומר את הסיסמה לא מוצפנת, שזה די נפוץ באתרים קטנים כמוהו שבאיםאליהם פעם אחת ושנה שוכחים מזה. (למי שעדיין לא עושה כך - בחרו לכם סיסמה מסוימת שאיתה תירשמו לכל אתר קטן וזבלי כזה, כך שגם אם ישיגו אותה לאיצליחו לגשת איתה לשום מקום מעניין. למתקדמים, השתמשו כמה סיסמאות כאלווכל פעם נחשו מחדש - אתרים כאלו בד"כ לא נועלים יוזרים שהכניסו סיסמהשגויה)

איך גיליתי את זה? טוב שאתם שואלים.
את זה שהם בפייתון אפשר לגלות לפי עמודי השגיאה שמקבלים בחלק מהדפים שלהם שכותבים שפייתון שגה.
את הקטע עם הסיסמה אפשר לגלות כי כשהכנסתי יוזר וניחשתי סיסמה (אחת מהזבליות כמובן), והיא היתה שגויה, קיבלתי פלט שנראה ככה:

`username`: u`ailaG`, `homepage`: u`http://comics.tapuz.co.il`, `Password`: u`blabla`, `Active`: 1, `User_code`:

כמובן שבמקום blabla היתה הסיסמה האמיתית שלי, אחת הזבליות האחרות.

שגיאות של התכנות בצד שרת?

א. שיש להם בכלל פונקציה שמדפיסה דברים כאלו. או לחלופין, שהם מדפיסים דברים כאלו בלי פונקציה.

ב. שהפונקציה הזאת נגעה בדף אמיתי בלי שמישהו שם לב בדרך.

ג.שיש להם פונקציה ששולפת את כל המשתנים מהדאטהבייס כולל כאלו שלא צריך (זההיה איזה 4-5 שורות של משתנים), כולל משתנים רגישים. גם המייל שלי היה שםלמרות שרק הכנסתי שם.

ד. והכי חשוב,שהם לא הצפינו את הסיסמה בדאטהבייס. אפילו אם הם היו משנים את סדר האותיותומעלים כל אות ב 1 זה כבר היה מסנן הרבה מנסיונות הפרצה האפשריים שם. אםמצפינים (בדרך לא טריוויאלית כמו MD5 או SHA1 שקל לעקוף אלא עם טיפהתחכום) אז גם אם תוכניתן דפוק הדפיס את הסיסמה, לרוב הכובע-שחור-בגרוש לאיהיה מה לעשות איתה, וגם למתקדמים יותר זה יהיה מסובך.
גג פורצים ישיגו כניסה לאתר שלכם ביוזר לא-להם, אבל לפחות הם לא ישיגו את הסיסמה עצמה, שבטח משמשת גם לאתרים אחרים. זבליים כמובן.



נ.ב. כמובן שהפרצה גם עובדת כשמכניסים admin או administrator.

נ.נ.ב. כמו כן, הקוד הבא מטומטם לחלוטין (מאותו אתר, אחרי לוגין):
‎< input value="$password_from_db" type="password‎" />‎
מקסים שהסתרתם את הסיסמה עם כוכביות, עכשיו אף אחד לא יוכל לגלות אותה בעזרת הדף הזה.

נכתב במקור בפורום בוני אתרים

 

עדכון: עכשיו אפשר להחליף שם סיסמה.

הוספת תגובה

נשארו 150 תוים
נשארו 1500 תוים

11 תגובות

© כל הזכויות לתוכן המופיע בדף זה שייכות ל ailag אלא אם צויין אחרת