administrador de contenidos - seguridad

buenos dias !

antes que nada los felicito por los grandes aportes que hacen día a día

ahora bien en esta ocasión estoy desarrollando un sistema de administración o backend en php + mysql
en realidad lo tengo listo solo me gustaría conocer su opinion en cuanto a la seguridad de este, si alguno tiene idea de seguridad en PHP

este es el link
http://www.marianodamianarias.com/cristobarrios4/admin

alguno puede llegar a acceder sin tener las contraseñas ¿?

muchas gracias!!!!

Esta muy sencillo ingresar a tu web, como muestra de ello te envio el texto de bienvenida:

Bienvenido!
--------------------------------------------------------------------------------
Haga click en los enlaces del menu principal para acceder a alguna de las secciones.

Ahora ya lo cambie la contraseña, ;)

bien por ingresar !

pero ahora bien, podrias darme una manito para aumentar la seguridad de ese administrador,
algun link para estudiarlo
es importante para mi. o al menos comentarme como has hecho

muchas gracias !!

A mi también me interesa saber de que manera lo hiciste rquilca. ¿Por casualidad haz hecho injección SQL en los POST?

Salu2

JAJAJA que facil entre a tu administrador ajajja

Ademas tienes un error

SQL:
Unknown column 'id_imagenes' in 'field list'

Al intentar ordenar las imagenes

priemro nunca uses

usuario: admin
passw: admin

sgundo, habilitar magic_quotes

tercero, te paso un script para que no te hagan sql injection (me lo paso samba666)

aca la funcion

uso de la funcion


salu2

La verdad me sorprende que aún se ponga a prueba un sistema con datos tipicos de acceso (me recuerda el password de 123456), aunque por mi cabeza jamás se me paso probar de esa manera, por el simple hecho de que ya era "historia" xD. En ese caso la inyección SQL no es necesario jaja.

Como dice aldo1982, una vez cambies los datos de acceso.. utiliza funciones como "mysql_real_escape_string()" para evitar futuros ataques.

Saludos

esacto, debes usar

aca te dejo para que leas y veas algunos ejemplos de su uso.


mysql_real_escape_string

(PHP 4 >= 4.3.0, PHP 5)
mysql_real_escape_string -- Escapa caracteres especiales de una cadena para su uso en una sentencia SQL
Descripción
string mysql_real_escape_string ( string cadena_no_escapada [, resource id_enlace] )

Escapa todos los caracteres especiales en la cadena_no_escapada, tomando en cuenta el juego de caracteres actual de la conexión, de tal modo que sea seguro usarla con mysql_query(). Si se van a insertar datos binarios, debe usarse esta función.

mysql_real_escape_string() llama a la función de la biblioteca MySQL mysql_real_escape_string, la cual coloca barras invertidas antes de los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.

Esta función debe usarse siempre (con algunas excepciones) para garantizar que los datos sean seguros antes de enviar una consulta a MySQL
Lista de parámetros

cadena_no_escapada

La cadena a ser escapada.
link_identifier

The MySQL connection. If the link identifier is not specified, the last link opened by mysql_connect() is assumed. If no such link is found, it will try to create one as if mysql_connect() was called with no arguments. If by chance no connection is found or established, an E_WARNING level warning is generated.

Valores retornados

Devuelve la cadena escapada, o FALSE en caso de que ocurra un error.
Ejemplos

Ejemplo 1. Ejemplo sencillo de mysql_real_escape_string()
Ejemplo 2. Un ejemplo de un ataque de inyección SQL
La consulta enviada a MySQL:

SELECT * FROM usuarios WHERE usuario='aidan' AND password='' OR ''=''

Esto permitiría que cualquiera iniciara una sesión sin una contraseña válida.

Ejemplo 3. Una consulta "Recomendable"

Mediante el uso de mysql_real_escape_string() sobre cada variable se previene la inyección de SQL. Este ejemplo demuestra el método "recomendable" para ejecutar una consulta en la base de datos, independientemente del valor de las Comillas Mágicas.
La consulta no se ejecutará correctamente ahora, y los ataques de inyección de SQL no funcionarán.
Notes

Nota: Es necesaria una conexión MySQL antes de usar mysql_real_escape_string() o de lo contrario un error de nivel E_WARNING es generado, y FALSE es devuelto. Si id_enlace no está definido, se usará la última conexión con MySQL.

Nota: Si se habilita magic_quotes_gpc, aplique stripslashes() sobre los datos primero. Usar esta función sobre datos que ya han sido escapados los escapará dos veces.

Nota: Si esta función no es usada para escapar datos, la consulta es vulnerable a Ataques de Inyección de SQL.

Nota: mysql_real_escape_string() no escapa % ni _. Éstos son comodines en MySQL si se combinan con LIKE, GRANT, o REVOKE.

Eso es mal, magic_quotes debe permanecer OFF. De hecho, creo que en PHP6 no existirá mas.

xq ?

Al igual que register_globals, depender de esta función es una muy mala práctica.
Principalmente cuando piensas distribuir una aplicación, puede que no todos los servidores la tengan activadas, y alguien aprovechando eso, te puede "colar" un ataque de inyección SQL.
Lo mejor es no depender de esta directiva, y menos aun cuando llegue PHP6.

muchas gracias aldo1982 y a los demas que aportaron algo para mejorar el sistame

de ninguna manera era un desafio para nadie intentar ingresar al sistema si no por supuesto
que al menos me hubiese molestado en cambiar las claves de acceso por algunas mas segura

por lo que las risas estuvieron estúpidas ya que si estoy consultandoles es por que no tengo demasiada experiencia en seguridad con php

gracias otra vez

En parte tienes razón, incluso a mi me cayó mal cuando leí el post y me llamó la atención la verdad (como si fuese tan facil explotar un bug), pero debes tener en cuenta que no pasa por no "tener experiencia en php" sino de poner a prueba un sistema de login con datos "comunes", entiendes? sea el lenguaje que sea. Supongo que por eso dio un poco de risa.

Hay que tomarlo simplemente como un descuido. Igual te digo que todo sistema estará "seguro" siempre y cuando sepas controlar los datos enviados, especificar de que manera lo recibes (get o post), de ahi comprobar el tipo de dato (string, númerico, etc..) y recien la consulta SQL teniendo en cuenta los "escapes" para ciertos signos raros (inyección sql).

Suerte.

mda07_cristobarrios.adminDatos
mda07_cristobarrios.agenda
mda07_cristobarrios.novedades

Se pueden ver los errores y puedo ver el nombre de la abse de datos.

NUNCA uses esto:
USALO asi
Usa Addslahes para liberar ataques SQL injection.

Puedes usar la funcione que expone: aldo1982
---------------------------------------------
Otro error es que deber de declarar las variables numericas de las $_GET que sean numericas

Mira este error:
http://www.marianodamianarias.com/?ver='0&anio=2009

Deberas usarlo asi:

muy bueno lo de polin2bclan a mi hace unos meses me hackearon un sitio que uso todo por modulos con db y variables get numericas... no se como hiciieron, pero me cambiaron el index y me borraron todos los archivos del FTP.

:S

el sitio es este, a ver que me porian decir de como me entraron y borraron archivos.

http://www.dechapaypintura.com.ar


salu2 y gracias

aldo.. te asegurastes que no tenias admin admin como user/pass en el ftp verdad?

jeje

si me fije jeje

bueno, a donde quería llegar es a que hay muchisimas formas de entrar a un sistema. Es decir el SQL injection está bien, pero con eso no se domina el mundo jeje

Un saludo

Estoy de acuerdo con lo que decis, por eso pregunte de que forma me la pudieron hackear

¿Que tipo de filtrado haces cuando recibes una variable por GET en tu sistema?

a que te referis con el filtrado ?

¿Revisas que la variable en realidad sea numerica?
¿Utilizas mysql_real_escape_string?

Probablemente entraron por tu panel de administracion, es bastante obvia la direccion de este:
http://www.dechapaypintura.com.ar/admin/

no use el real scape je. me podrias decir de ke manera habran podido ingresar ?

agradezco tu apoyo :D

y para que revisar que la variable sea numerica ? en la parte del sitio web me decis vos ?

aldo, desde el panel de administracion tienes la opción de modificar los archivos del ftp (webFTP)?, porque si no es así... puedes empezar a considerar una actualización de tu servidor ftp, poner una contraseña más segura en éste, comprobar que está deshabilitada la opción usuario anónimo etc.
Un saludo

Y lo que te comenta el amigo Ron Ruby posiblemente es que, cuando vas a recoger la variable GET, que compruebes que es de tipo numérico por ejemplo utilizando is_numeric($variable) o haciendo un casting a int o si es de tipo numérico a double haciendo
settype($variable,"double"); por ejemplo

Por ejemplo, echale un vistazo a esto:
trabajos.php?menu=39

Si no revisas que la variable menú sea numérica y tampoco uses mysql_real_escape_string, te puede colar un ataque de inyeccion SQL.

bien ahi comprendi.

http://www.dechapaypintura.com.ar/tr...ect%20*%20from


algo asi me decis vos ? para que tire error y de el nombre de las tablas mediante mysql_error() ??