Взлом SourceBans, и как быть?

[AS TRO]

Добро времени. Недавно мой проект взломали через обычный, обновленный до последней версии SourceBans.
Приложу парочку логов, которые доступны только лютым пользователям)


Есть какие предложения по этому поводу? В бд они очень хорошо покопались и изменили все что нужно и не нужно. В общем, хотелось бы услышать мнение людей, с опытом работы php и MySQL. Ибо в сб уже есть куча проверок на левые запросы. Тот же pages, там получаемое значение раз 5 проверяется на число...

Хотел бы еще прочитать мнение от данных персон @The Night Fury и @Monomizer

 

[diller110]

@AS TRO, Ну собственно обычная SQL инъекция. Может особенность конкретной версии SB, с такой уязвимостью?

Спойлер

Лучше написать об этом разработчикам.

 

[Drumanid]

Оффтоп

Спойлер

OctoBans юзай.

 

[gibs]

Ну а что ты хочешь услышать? Обычная sql инъекция, как уже и сказали. Это старая известная проблема сб. Особенно то, что параметры от залогиненых юзеров вообще не проверяются на валидность, что является серьезной проблемой для тех, кто продает админки через сб. Обновляй свой форк)

 

[bigbrain911]

Оффтоп

Не уверен, возможно стоит посмотреть в сторону suhosin, часто отбивает атаки.

 

[Hinex]

Это?

Fix SQL injection · sbpp/sourcebans-pp@8e98f3d · GitHub

 

[AS TRO]

Это?

Fix SQL injection · sbpp/sourcebans-pp@8e98f3d · GitHub

А это просто проверка на id админа и проверка на числовое значение этого админа. Это по сути то... Но они проверяют не то, что я указал. Не pages...

 

[selax]

@AS TRO, не совсем так. Это приведение "любого" типа к типу integer. То есть любое значение $aid допустимо.

 

[Tallanvor]

@AS TRO, увы, я не кодер.
Но при этом есть понимание, что без перелопачивания ОТ и ДО всего СБ - не обойтись.
Защита от SQL-инъекций в PHP и MySQL - ИМХО, тут толково расписано, как стоит и как не надо делать...

 

[selax]

Но при этом есть понимание, что без перелопачивания ОТ и ДО всего СБ - не обойтись.

Это не продуктивно. Проще "с нуля" SourceBans переписать на каком нибудь фреймворке.

 

[Tallanvor]

Проще "с нуля" SourceBans переписать на каком нибудь фреймворке.

Не поверишь, но я уже не раз задумывался об этом (как и о статистике)
Но прикидывая, сколько это потянет в денежном эквиваленте, становится немного дурно....

 

[selax]

Не поверишь, но я уже не раз задумывался об этом (как и о статистике)
Но прикидывая, сколько это потянет в денежном эквиваленте, становится немного дурно....

Нужен энтузиаст. В 2010 году у меня не сильно много времени ушло чтобы весь функционал веб части SB реализовать как модуль к IPB. Это всё при том, что у меня было очень поверхностное знание PHP.

@AS TRO, я так понял инъекция делается с помощью кавычки, а что если в php.ini включить magic_quotes_gpc?

 

[Tallanvor]

а что если в php.ini включить magic_quotes_gpc?

Та вроде как на этот случай есть заплатка в коде:

Спойлер: Код

         * @param boolean $magic_quotes If false, use mysqli_real_escape_string()
         *     if you are quoting a string extracted from a POST/GET variable,
         *     then pass get_magic_quotes_gpc() as the second parameter. This will
         *     ensure that the variable is not quoted twice, once by qstr() and
         *     once by the magic_quotes_gpc.
         *     Eg. $s = $db->qstr(_GET['name'],get_magic_quotes_gpc());
         * @return string Quoted string
         */
        function qstr($s, $magic_quotes = false)
        {
                if (is_null($s)) return 'NULL';
                if (!$magic_quotes) {
                        // mysqli_real_escape_string() throws a warning when the given
                        // connection is invalid
                        if (PHP_VERSION >= 5 && $this->_connectionID) {
                                return "'" . mysqli_real_escape_string($this->_connectionID, $s) . "'";
                        }

                        if ($this->replaceQuote[0] == '\\') {
                                $s = adodb_str_replace(array('\\',"\0"), array('\\\\',"\\\0") ,$s);
                        }
                        return "'" . str_replace("'", $this->replaceQuote, $s) . "'";
                }
                // undo magic quotes for "
                $s = str_replace('\\"','"',$s);
                return "'$s'";
        }

 

[selax]

@Tallanvor, я просто пытался с помощью этих строк хакнуть свой сб - не получилось. Когда не вижу проблемы не получается думать. :)

 

[Kruzya]

@selax, энтузиасты всегда найдутся. Я вот лично не против переписать СБ с нуля. Но в одиночку при виде мегатонны кода - желание пропадает) Ибо займёт достаточно много времени

 

[Tallanvor]

@CrazyHackGUT, ну, мегатонны кода там только из-за того, что писалось с нуля и на коленке.
Если использовать готовый фреймворк, то количество сокращается в разы, так или иначе.
Плюс, некоторый функционал можно убрать (что-то не встречал ни разу прикреплённых демок к банам, например)
Но и добавит некоторые вещи не помешает...
Правда, это уже тема отдельного топика.

 

[selax]

@CrazyHackGUT, в том то и дело что там совсем не мегатонны. Если на фреймворке писать.
--- Добавлено позже ---

Плюс, некоторый функционал можно убрать (что-то не встречал ни разу прикреплённых демок к банам, например).

Я юзал, но несколько иначе. У меня была автозагрузке демок на сайт, и в переписанном SB по дате автоматически выбиралась она.

 

[Tallanvor]

по дате автоматически выбиралась она.

То же самое делал))
И да, так и можно реализовать, по типу опционального модуля.

 

[m22b]

Скрытое содержимое, доступно для групп : Администраторы, Модераторы, Опытные, Супер-модераторы

Ну окей :)

 

[Tallanvor]

@m22b, что тебя смущает?)
Или ты "Опытные" не заметил? ;)