¿ataque php?

minombreesmm · #1 (**permalink**) 26/07/2016, 20:40

como es esto posible

Código PHP:

Ver originalif (isset($_POST['url'])){
    $url=$_POST['url']; 
    
    if(strlen($url)>100)
    {
        header("location: index.php?v=url menor a 100 caracteres"); 
        exit;
    }
    if($url=="") 
    {
        header("location: index.php?v=Falta agregar la url");   
        exit;
    }
     if(stristr($url,"http://")==false )
     { 
          if(stristr($url,"https://")==false )
          { 
             header("location: index.php?v=La url es invalida debe ser http o https");
             exit;           
          }      
     }  
}

la persona logro insertar el # en el campo url
y no me habia percatado de ese error garrafal siendo que lo habia visto ya hace varios meses casi el año.

¿como es eso posible?
como pudo burlar esas validaciones?

de antemano gracias

pateketrueke · #2 (**permalink**) 26/07/2016, 23:42

Pues en ningún momento validas que hacer en caso contrario de que la URL no tenga http:// ni https:// así que podría colocar incluso "x" y pasaría tus validaciones.

Además poder introducir "#" está muy lejos de ser considerado un ataque, no lo es, es un descuido tuyo.

minombreesmm · #3 (**permalink**) 27/07/2016, 09:55

Cita:

Iniciado por pateketrueke

Pues en ningún momento validas que hacer en caso contrario de que la URL no tenga http:// ni https:// así que podría colocar incluso "x" y pasaría tus validaciones.

Además poder introducir "#" está muy lejos de ser considerado un ataque, no lo es, es un descuido tuyo.

justo en estas lineas estoy validando lo que dices que no valido XD

Código PHP:

Ver originalif(stristr($url,"http://")==false )
     { 
          if(stristr($url,"https://")==false )
          {

Y en el caso contrario de que si lo tenga, guardo la url..
No necesito poner un else por que es lo mismo, si no entra a las condiciones las pasa y ejecuta la instruccion que sigue, en este caso guardar la url que empiece con http:// o https://

fishdesign · #4 (**permalink**) 27/07/2016, 10:04

En esas validaciones no aparece ningún control para el #, ni tan siquiera para meter query strings...

No conozco el contexto del script, pero como validación/seguridad, no tiene mucho sentido ese código

minombreesmm · #5 (**permalink**) 27/07/2016, 10:44

Cita:

Iniciado por fishdesign

En esas validaciones no aparece ningún control para el #, ni tan siquiera para meter query strings...

No conozco el contexto del script, pero como validación/seguridad, no tiene mucho sentido ese código

mas adelante hago un saneamiento para inyecciones sql, se supone que todo entra como texto plano, tal y como el usuario lo escribe.
pero aquí el detalle es como a pesar de esas condiciones paso desapercibido el #
aunque alli no diga explicitamente sobre #..
esa condicion jamas permitiria que pasara el # únicamente..
podria pasar el #http:// , esa validación no la tengo, pero el # solo jamas pasaria, se supone..

pateketrueke · #6 (**permalink**) 27/07/2016, 11:22

El símbolo # no es dañino, sencillamente estás validando mal todo: debes verificar que sí sea una URL completa, no sólo comprobar partes de ella.

Busca en el manual sobre la extensión filter, ya tiene dichas validaciones.

minombreesmm · #7 (**permalink**) 27/07/2016, 12:12

Cita:

Iniciado por fishdesign

En esas validaciones no aparece ningún control para el #, ni tan siquiera para meter query strings...

No conozco el contexto del script, pero como validación/seguridad, no tiene mucho sentido ese código

De hecho ayer apenas me entere de ella, pero gracias por recordarmelo :), es que esa validación ya tiene mucho y también cuando ocurrió eso.
independientemente de validar si la url esta bien o está mal.

es posible que el simbolo # como unico caracter en el campo se brinque esas validaciones??

Osea

Código PHP:

Ver originalif (isset($_POST['url'])){
    $url=$_POST['url']; 
    
    if(strlen($url)>100)
    {
        header("location: index.php?v=url menor a 100 caracteres"); 
        exit;
    }
    if($url=="") 
    {
        header("location: index.php?v=Falta agregar la url");   
        exit;
    }
     if(stristr($url,"http://")==false )
     { 
          if(stristr($url,"https://")==false )
          { 
             header("location: index.php?v=La url es invalida debe ser http o https");
             exit;           
          }      
     }  
}
 
echo $url;

en pantalla sale #

gnzsoloyo · #8 (**permalink**) 27/07/2016, 14:11

Cita:

en pantalla sale #

Porque no tienes nada para un else, por lo cual simplemente termina las condiciones IF e imprime lo que haya recibido...

En serio, tendrías que ser mas meticuloso en lo que va sucediendo y lo que pasa luego. Sencillamente el código que pones solo valida que hacer en cierta condiciones, pero no qué debe hacer en caso de no corresponder a false. Validas solo lo que e true.

Por su lado, el caracter "#" en el acceso a bases de datos como MySQL, por ejemplo, simplemente elimina todo lo que sigue, porque se usa para comments, es decir, comentarios en la misma linea. Todo lo que sigue a ese caracter es ignorado sin mas, por lo que no es, como ya te dijeron, un caracter "dañino" o peligroso ne ese sentido.

Nedned · #9 (**permalink**) 27/07/2016, 14:59

Código PHP:

Ver originalif (isset($_POST['url'])){
    $url=$_POST['url']; 
    
    if(strlen($url)>100)
    {
        header("location: index.php?v=url menor a 100 caracteres"); 
        exit;
    }
    if($url=="") 
    {
        header("location: index.php?v=Falta agregar la url");   
        exit;
    }
     if(stristr($url,"http://")==false )
     { 
  // AQUI  --->
          if(stristr($url,"https://")==false )
          { 
             header("location: index.php?v=La url es invalida debe ser http o https");
             exit;           
          }      
     }  
}
 
echo $url;

Se queda dónde te he dicho, // AQUI--->
como luego no entra en el if de más abajo no te marca tu mensaje y te muestra por pantalla el echo $url; al seguir la ejecución del código.

puedes controlarlo con un OR y juntar los dos IFs.

No se si me he explicado correctamente.

minombreesmm · #10 (**permalink**) 27/07/2016, 15:59

Cita:

Iniciado por Nedned

Código PHP:

Ver originalif (isset($_POST['url'])){
    $url=$_POST['url']; 
    
    if(strlen($url)>100)
    {
        header("location: index.php?v=url menor a 100 caracteres"); 
        exit;
    }
    if($url=="") 
    {
        header("location: index.php?v=Falta agregar la url");   
        exit;
    }
     if(stristr($url,"http://")==false )
     { 
  // AQUI  --->
          if(stristr($url,"https://")==false )
          { 
             header("location: index.php?v=La url es invalida debe ser http o https");
             exit;           
          }      
     }  
}
 
echo $url;

Se queda dónde te he dicho, // AQUI--->
como luego no entra en el if de más abajo no te marca tu mensaje y te muestra por pantalla el echo $url; al seguir la ejecución del código.

puedes controlarlo con un OR y juntar los dos IFs.

No se si me he explicado correctamente.

Si entendi, en vez de if anidados meter el mismo resultado de las 2 condiciones en una sola..

En cuanto a lo que me dijeron de lo que hay que hacer en el else,
eso se sustituye por los headers..
osea si se cumple la condición que esta validando que los datos sean incorrectos entonces los desvía para el mensaje de error.. en caso contrario pasa de lado las condiciones y hace los inserts que tiene que hacer cuando está todo correcto.

tuadmin · #11 (**permalink**) 19/08/2016, 14:58

solo por curiosidad ese script en que version de PHP esta corriendo?? si es de php5.3 o anterior puedo suponer que se debe a REGISTER_GLOBALS