UWAGA NA SYSTEMY WYMIANY!

[cashmajster]

Tak jak juz napisalem problem jest rozwiazany juz od pewnego czasu.

Nie rozumiem jak problem może być rozwiązany, jak poprawki wprowadzicie dopiero dzisiaj w nocy. Do tego czasu ktoś może rozwalić cały system, tak?

[Paweł Kobis]

Nie

Podmien w pliku systemu adres linkorn.pl na 195.114.1.43/~linkorn/ i po klopocie z DNS-ami juz nie zdziala wtedy nikt nic

Prawdopodobienstwo ataku na strony userow jest nikle jak diabli ale jesli bedzie kilka czynnikow ktorych szook nie opisal spelnionych to moze sie udac atak ale ja powiem ze jesli te czynnik sa spelnione to skryptem c99 na tym hostingu zrobie wszystko na kazdym koncie czy ma czy niema zaisnatlowanego linkorna.

[mkr]

Szook takie include zewnętrznego kodu nie wydaje mi się bugiem a przemyślanym działaniem.

Powiedzmy sobie szczerze, użytkownik nie ma wpływu na to co stanie się z jego serwisem i na tacy podaje wszystkie swoje dane.

Pozostaje tylko wiara, że właściciele systemu nie zechcą uzyskać dostępu do twoich plików, mając taką możliwość.

[Daniel Kędzierski]

MKR dokładnie tak - tez uważam że zostało to rozwiązane tak aby admin miał możliwośc wstrzykiwania KODU PHP i pobierania danych z których sam jak pisał nie będzie się tłumaczył - wątek na moim forum.

Uważam że takie działanie mozna nazwać celowym bo po co ktoś zamiast LINKOW daje kod php ? tylko po to by zostawić sobie mozliwość wstrzykniecia wykonywalnego KODU.

Ale oki mniejsza o to.

DIR ELITE jeszcze raz napiszesz że niema takiej możliwości to wystrzele a wierz mi juz wystrzelilem testowo !.

A wtedy nie zostanie ci żaden user w systemi. Masz powazne problemy w systemie a udajesz i robisz z ludzi głupicch tak jak robiles wczoraj ze mnie na moim forum - mówiąc ze skoro chce wiedziec jakie dane twoj skrypt wysyła to pewno chce oszukiwac twoj system.

[cashmajster]

Czyli Admin np. przed zbanowaniem czy wyrzuceniem kogoś z systemu linkorn może wrzucić mu odpowiedni kod na stronę, a następnie usunąć z wyników Google na kilka miesięcy.

Wiem, że Google posiada opcję usuwania stron z indeksu, tylko na stronie musi być chyba błąd 404.

Czy może to być wykorzystane do likwidacji niewygodnych ludzi lub konkurencji?

Strony po takim zabiegu, do indeksu wracają chyba dopiero za kilka miesięcy.

[Daniel Kędzierski]

cashmajster admin systemu LINKORN poprzez możliwość wstrzykiwania KODU PHP jaką sobie zostawił ma mozliwośc nawet dopisania ci metatagów takich jak autoryzacja google sitemap, noindex i wtedy kasowanie za pomocą narzędzi dla webmasterów.

Mozliwość - ja nie mówie że to robił czy ma zamiar.

Ale to jest PIKUŚ możliwośc wstrzykiwania PHP daje możliwość analizowania ruchu, pobierania LOGINÓW, danych wysyłanych w formularzach a na koniec zrobienie przekierowań, umieszczenia wszystkiego co można dzieki PHP.

Nadal nie mówie ze tak robił ale system LINKORN umożliwia to adminowi - wiec czy mozna az tak zaufać ?

odkrywac dane na temat ruchu, userów loginów ? no i najwazniejsze po co w systemie takie możliwosci ?

[Bartek S.]

dir-elite... [...] Już napisałem że usunąłem sobie przez ten system podstronę (testując czy ta metoda działa)... Dzięki tej luce można wszystko co oferuje php... Łącznie z tym co napisał szook.

Widzę że post dir-elite został usunięty...

[Daniel Kędzierski]

eh dir MI ? wiesz co

I nie mów mi i nie obrażaj mnie człowieku - BO naraziłeś mase witryn na utrate stabilności ktoś ci chciał pomoc to go od idiotów wyzywasz !

zrobiłem EDIT bo post wyzywający zginoł.

Dobrze bo on tego nie zrozumie ale dla userów którzy nie byli świadomi a posiadają system LINKORN - niech zastanowią się czy chca posiadać takiego backdoora na swojej stronie. Ja odradzałbym z powodu bezpieczeństwa danych i samej strony www.

[cashmajster]

Proszę doświadczonych programistów o potwierdzenie lub obalenie, że:

Podmien w pliku systemu adres linkorn.pl na 195.114.1.43/~linkorn/ i po klopocie z DNS-ami juz nie zdziala wtedy nikt nic

Pozdrawiam

EDIT:

Czy wtedy nie będzie już niebezpieczeństwa zagrożenia stronie przez adminów?

[mkr]

Nikt obcy nie zdziała sposobem zaprezentowanym przez Szook'a. Jednak nadal administracja systemu może w dowolnej chwili wykonać kod php w twoim serwisie i nie będziesz o tym nawet wiedział.

Jak im ufasz to używaj. Nic się nie powinno stać. Ale możliwości mają nieograniczone.

[Daniel Kędzierski]

zgadza się że jak podmienisz żeby pytał o IP to kwestia wpisu w vhost i dns zostanie rozwiązana.

Ale nie zostanie rozwiazany problem wstrzykiwania KODU PHP przez admina systemu.

Nadal zamiast standardowego rozwiązania jakie powinno sie zastosować czyli cache linków jako kodu HTML i brak możliwości wykonania cachowanego wysyłanego KODU PHP jest stosowane wstrzykiwanie kodu PHP wysyłanego przez LINKORN.

Kwestia tylko tego że kolega DIR wie to bo mu o tym napisałem - kwestia odwołania sie do IP jako jeden z prostyszych sposobów rozwiazania problemu ale nadal nie rozumie i mysle że userzy systemu nie są swiadomi że on sam, albo zhaczenie systemu może spowodować masowe wysłanie/wstrzyknięcie złosliwego kodu PHP.

Mało tego - możliwośc kontrolowania stron/danych jakie daje tak wysokie zaufanie do systemu może naruszac polityke prywatności wielu serwisów które posiadając ten system informowały userów jakie dane i w jakim celu są pobierane. System sam w sobie może pobierać dane nie informując właściciela www jakie dane pobiera, może zbierać więcej niż zbiera sam user. Tak jak napisał MKR może wszystko.

[luq]

Szook takie include zewnętrznego kodu nie wydaje mi się bugiem a przemyślanym działaniem.

tak, bo nie ma innej metody na pobranie linków przez klienta systemu. Problem leży w zupełnie czym innym - w tym że z łatwością możesz podszyć się na swoim serwerze pod domenę linkor.pl czy linkorn.pl i aplikować userom co Ci tylko fantazja podsunie.

Podmien w pliku systemu adres linkorn.pl na 195.114.1.43/~linkorn/ i po klopocie z DNS-ami juz nie zdziala wtedy nikt nic

to powino zadziałać, bo wtedy masz gwarancję że pobierasz pliki od systyemu, a nie od kogoś kto się pod niego podszywa. Chociaż admin systemu dalej sporo może.

[Daniel Kędzierski]

LUG jest zobacz

tam problem tkwi w zostawieniu furtki do wstrzyknięcia PHPa.

Można zrobić tak aby ewentualny kod PHP znajdujący się w cachu nie był wykonywany.

Dlatego w linkorn zaaplikujesz co chcesz a w dobrze zabezpieczonym ew. JS i HTML a php będzie traktowany jako drukowany.

Zobacz zasada:

jak na na PIO napisze

echo 'LINKI LINKI';

to nie zostanie to wykonane prawda ?

a w jego wypadku zostanie to wykonane i zostało to tak stworzone.

A mozna pobrac linki do pliku cache w postaci takiej ?

<a href="https://domena.pl">DOMENA<a/> <a href="https://domena.pl">DOMENA<a/> <a href="https://domena.pl">DOMENA<a/>

można i tak to powinno wyglądać w pojedynczych plikach cache jakie stosuje

a nie tak

echo '<a href="https://domena.pl">DOMENA<a/>';

Powinno być traktowane jako częśc której nie można wykonać.

a zeby to prost zobrazowac:

masz krotki kod na kazdej podstronie ktory pobiera linka dla danej podstrony

i na tej podstronie jak w cachowanym PLIKU jest echo 'LINKI';

powinno zostac to wydrukowane w takiej samej postaci a nie wykonane.

Czyli zawartość wysyłanych linków do plików cache powinna być DRUKOWALNA nie wykonywalna.

[luq]

LUG jest zobacz

tam problem tkwi w zostawieniu furtki do wstrzyknięcia PHPa.

No tak, ale tego php'a nie wstrzykujesz przecież czarodziejską różdżką tylko korzystasz z tego że możesz zaparkować u siebie np. domenę linkorn.pl

W tej sytuacji pobieranie linków przez klienta po ip a nie po adresie domenowym powinno rozwiązać sprawę, bo masz gwarancję że pobierasz zawartość podaną Ci przez system a nie przez kogoś kto zaparkował u siebie systemową domenę.

BTW nawet przy pobieraniu zawartości po IP w linkornie rzeczywiście jest najgorsza możliwa kaszana bo wszyscy userzy są na łasce lub niełasce admina, który rzeczywiście może robić dosłownie wszystko, a biorąc pod uwagę jego charakter oraz ilość bugów jakie userzy poznajdowali do tej pory w tym systemie jest to niebywale ryzykowne.

pozdrawiam

luq

[Daniel Kędzierski]

o własnie Luq o bo tak się pisze dokladnie o to mi chodziło.

Dobrze zabezpieczy IP.

A jak ktoś zhaczy system ?

Ja wiem że nie wpadnie ten kod tam sam, ale różnica jest taka - bezpieczny system nie pozwoli wykonać wysłanego PHP. Np dzisiaj można wstrzyknąć PHP do linkorna do dobrze zabezpieczonego systemu wstrzykniecie lini kodu nie spowoduje nic poza wydrukowaniem tych linii.

O ile w normalnej sytuacji kiedy kod PHP wysyłany z systemu nie będzie mógł zostac wykonany to małe szkody.

Ale zdajesz sobie sprawę co byłoby gdyby masowo został wysłany kod PHP do wykonania bezpośrednio z serwera.

Dlatego uważam że mozliwosc wstrzyknięcia jest - a to już ryzyko spore.

System powinien być odporny na wypadek hacku - że jak ktoś zechce masowo wysłać z serwera IP masowo kod PHP to poprostu zostanie zamiast linków wydrukowane echo ' LINKI LINKI'; czyli zostanie zignorowany PHP.

W wypadku Linkorna na stronach www na wypadek hacku serwera poleci masa witryn jak ktoś zechce posłać PHP.

Gdyby posłał htmla,js to szkód nie narobi wewn a php już tak.