Comments on: Jakie pytania na konkursach? http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html Moje przeżycia związane z: FLEX, JEE, EJB, JSF, FreeBSD, PostgreSQL i PHP i Windows ;) Wed, 08 Feb 2012 16:47:26 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Antoni Jakubiak http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4316 Antoni Jakubiak Tue, 11 Aug 2009 08:20:29 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4316 <a href="#comment-4175" rel="nofollow">@matipl</a> filtrowanie tego jest skomplikowane. Pierwsze co przychodzi mi do głowy to wybranie domeny z adresu URL. Następnie należało by sprawdzić, czy nie jest to domena lokalna lub w sieci wewnętrznej.: 127.*, 10.*, 192.*. Natomiast, to nie wyklucza zagrożeń związanych z proxy... Aby zabezpieczyć nasz serwer, by nie mógł służyć do atakowania proxy, należało by wprowadzić limit żądań z jednego adresu IP w określonym czasie... Tak na prawdę, ten skrypt ma dwa różne problemy. Pierwszy pobieranie URL. Druki wyświetlanie URL. W prawdziwym życiu zanim coś wyświetlimy zwykle następuje przetwarzanie... Dobra, my tu sobie bla, bla, bla o teorii. A jaka jest praktyka? http://www.google.pl/search?q=flex+cross+domain+proxy+php Jak myślicie, na ilu tysiącach serwerów zainstalowany będzie taki skrypt? @matipl filtrowanie tego jest skomplikowane. Pierwsze co przychodzi mi do głowy to wybranie domeny z adresu URL. Następnie należało by sprawdzić, czy nie jest to domena lokalna lub w sieci wewnętrznej.: 127.*, 10.*, 192.*. Natomiast, to nie wyklucza zagrożeń związanych z proxy… Aby zabezpieczyć nasz serwer, by nie mógł służyć do atakowania proxy, należało by wprowadzić limit żądań z jednego adresu IP w określonym czasie…

Tak na prawdę, ten skrypt ma dwa różne problemy.
Pierwszy pobieranie URL.
Druki wyświetlanie URL. W prawdziwym życiu zanim coś wyświetlimy zwykle następuje przetwarzanie…

Dobra, my tu sobie bla, bla, bla o teorii. A jaka jest praktyka?
http://www.google.pl/search?q=flex+cross+domain+proxy+php

Jak myślicie, na ilu tysiącach serwerów zainstalowany będzie taki skrypt?

]]> By: Antoni Jakubiak http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4315 Antoni Jakubiak Tue, 11 Aug 2009 07:57:59 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4315 Mój krótki przykład miał ilustrować mechanizm często wykorzystywany w serwisach www. Użytkownik podaje jakiś adres. Nasz serwer wczytuje ten adres URL, przetwarza go (czego nie było w tym przykładzie) i kiedyś później prezentuje wyniki... Zadanie jest niby proste. Ale jak wykonać je bezpiecznie? <a href="#comment-4184" rel="nofollow">@blackfire</a> ad3. zapętlić da się przez XSS. Ale to już jest takie brzydkie... Mój krótki przykład miał ilustrować mechanizm często wykorzystywany w serwisach www. Użytkownik podaje jakiś adres. Nasz serwer wczytuje ten adres URL, przetwarza go (czego nie było w tym przykładzie) i kiedyś później prezentuje wyniki… Zadanie jest niby proste. Ale jak wykonać je bezpiecznie?

@blackfire ad3. zapętlić da się przez XSS. Ale to już jest takie brzydkie…

]]> By: Antoni Jakubiak http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4314 Antoni Jakubiak Tue, 11 Aug 2009 07:40:05 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4314 <a href="#comment-4184" rel="nofollow">@blackfire</a> ad 3. racja. Zapętlić tak się nie da... @blackfire ad 3. racja. Zapętlić tak się nie da…

]]> By: blackfire http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4184 blackfire Mon, 03 Aug 2009 20:21:29 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4184 4. Można zDoSować serwer każąc mu zassać dowolny duży plik -- w $contents się obraz typowego DVD raczej nie zmieści. 5. Ponieważ serwujemy dowolny content wskazany przez napastnika, to XSS chyba podpada pod kopanie leżącego, nie? :) ad. 3. Jakim requestem? Bo na chłopski rozum powinno się dać, ale nie widzę wartości parametru URL, dla którego całość się zapętli. Przy wywołaniu http://foo/?url=http://foo/ strona zostanie pobrana dwa razy, raz z parametrem, a raz bez, więc to takie średnie zapętlenie. 4. Można zDoSować serwer każąc mu zassać dowolny duży plik — w $contents się obraz typowego DVD raczej nie zmieści.

5. Ponieważ serwujemy dowolny content wskazany przez napastnika, to XSS chyba podpada pod kopanie leżącego, nie? :)

ad. 3. Jakim requestem? Bo na chłopski rozum powinno się dać, ale nie widzę wartości parametru URL, dla którego całość się zapętli. Przy wywołaniu http://foo/?url=http://foo/ strona zostanie pobrana dwa razy, raz z parametrem, a raz bez, więc to takie średnie zapętlenie.

]]> By: matipl http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4175 matipl Mon, 03 Aug 2009 07:18:27 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4175 Ja ogólnie bym te $_GET['url'] ładnie przefiltrował, jeśli już musi być w postaci domeny ze wskazaniem na plik, a nie tylko wskazanie na maszynie... Ja ogólnie bym te $_GET['url'] ładnie przefiltrował, jeśli już musi być w postaci domeny ze wskazaniem na plik, a nie tylko wskazanie na maszynie…

]]> By: Antoni Jakubiak http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4147 Antoni Jakubiak Sat, 01 Aug 2009 08:14:20 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4147 <a href="#comment-4146" rel="nofollow">@Tomek Nurkiewicz</a> nie próbowałem - tak na oko to raczej nie przejdzie. Jeżeli podasz jako parametr URL "%73" to w PHP będziesz miał "s" i dalsze polecenia się wykonają, jednak - nic to nie da atakującemu. Znane mi zagrożenia: 1. Kod działa jako anonimowe proxy, haker może ukryć się za naszym serwerem i napaś na inne serwery w Internecie. 2. Mogą to być wrota to ataku na nasz system, na przykład można pobrać zasoby lokalne, do których dostęp normalnie byłby zabroniony, np.: http://localhost/ lub http://localhost:8080/manager/ i w ten sposób odkryć niedoróbki w konfiguracji. 3. Można zapętlić serwer. Kto da więcej? @Tomek Nurkiewicz nie próbowałem – tak na oko to raczej nie przejdzie. Jeżeli podasz jako parametr URL “%73″ to w PHP będziesz miał “s” i dalsze polecenia się wykonają, jednak – nic to nie da atakującemu.
Znane mi zagrożenia:
1. Kod działa jako anonimowe proxy, haker może ukryć się za naszym serwerem i napaś na inne serwery w Internecie.
2. Mogą to być wrota to ataku na nasz system, na przykład można pobrać zasoby lokalne, do których dostęp normalnie byłby zabroniony, np.: http://localhost/ lub http://localhost:8080/manager/ i w ten sposób odkryć niedoróbki w konfiguracji.
3. Można zapętlić serwer.
Kto da więcej?

]]> By: Tomek Nurkiewicz http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4146 Tomek Nurkiewicz Sat, 01 Aug 2009 07:26:58 +0000 http://www.jakubiak.eu/2009/07/jakie-pytania-na-konkursach.html#comment-4146 A czy taki trick przejdzie? http%73://example.com - %73 to 's' w hex-ascii. Rozwiązaniem byłoby utworzenie instancji klasy URL (w Javie), a tam jest chyba odpowiednia metoda do zwrócenia schematu http/https (?) A czy taki trick przejdzie? http%73://example.com – %73 to ‘s’ w hex-ascii. Rozwiązaniem byłoby utworzenie instancji klasy URL (w Javie), a tam jest chyba odpowiednia metoda do zwrócenia schematu http/https (?)

]]>