Jak się włamywać na stronę?

0

Siemka,

Wczoraj skończyłem robić stronę, www.lpc.boo.pl ( chciałem się też pochwalić oczywiście :) ). Kiedy użytkownik się źle zaloguje, do pewnej tabelki w bazie danych zapisywany jest login, który w tym nieudanym logowaniu wpisał (potrzebowałem tego do zrobienia banowania na ip po 3 nieudanych probach logowania...). No i przeglądam dziś bazę danych, wyciągam wszystkie rekordy z tej tabeli, a tam jeden gość chyba z 50 razy próbował się włamać do systemu. (ale oczywiście mój zajebisty skrypt mu na to nie pozwolił :D).

Kilka loginów to próba sql injection, w stylu ' or 1=1--. Ale pozostałe to jakieś dziwne rzeczy, jak na przykład:
%uff1e%uff02%uf
1//--></script>
1<iframe/ /onlo;
acunetix:expr/
1>"><ScRiPt >a
1<ScRiPt >aler

Końcówki są odcięte ponieważ pole na login może mieć max. 15 znaków.
No i tak z ciekawości - koleś po prostu się bawił, czy to jakiś sposób obejścia zabezpieczeń? Czy może coś jeszcze innego?

0

Sprawdzał podatność na XSS, czyli w poszukiwaniu najczęstszych błędów.

Co do samego banowania to podchodzę sceptycznie. Przecież możliwość łamania 20 haseł na minute to jest praktycznie igła w stogu siana. Bardziej bym rekomendował walnięcie sleep(5) jeśli ktoś dużo razy próbuje się zalogować. Bo jak mam hasło główne i kilka innych, to nie zdążę wypróbować wszystkich na raz, jeśli dawno nie logowałem i nie pamiętam które to.

0

Taka uwaga, moglbys troche mniej info wyswietlac w takich przypadkach jak ten: http://lpc.boo.pl/artykuly?sort=%22%3E

0

No to też, debug backtrace podczas padu bazy danych może cię załatwić. Pomijając to że od strony usera w ogóle błędy bazy danych nie powinny się pokazywać (wszystko coverowane i łapane).

0

Perykles, są automatyczne narzędzia to sprawdzania podatności na różne ataki, wątpię, że próbował to wszystko z palca. Stąd tyle różnych prób.

0

Ba, są nawet roboty które zbierają statystyki na temat najpopularniejszych XSSów lub próbujące coś rozpierdzielić.

0

Ciekawe. Coś tam o XSS słyszałem, ale aż sam się sobie dziwię, że się tym głębiej nie zainteresowałem. Szkoda że system sprawdzania obecnści uczniów na stronie mojego liceum nie jest na to podatny :D Dzięki za szybkie odpowiedzi i rady.

1 użytkowników online, w tym zalogowanych: 0, gości: 1