Atención usuarios de "Autentificator", falla seguridad.

Cluster · #1 (**permalink**) 30/10/2006, 17:51

Bueno .. despues de tantos años (

) .. he sido agraciado (o desgraciado) con la mención en "securityfocus.com" .. uno de los repositorios de reportes de errores y fallos de seguridad de diferentes tipos de aplicación con una mención sobre un fallo de "SQL inyection" probable.

http://www.securityfocus.com/archive/1/445008

En breve solventaré el problema. Como dice el dicho "en casa de herrero cuchara de palo" .. tanto que abogo por el tema .. y nunca le presté atención en mi caso.

Un saludo,

foo · #2 (**permalink**) 30/10/2006, 19:25

viendo en este momento el codigo de la version afectada, se puede ver que existen otros problemas tambien, a parte de sql injection, tambien sufre ante ataques xss y "session fixation"

Cluster · #3 (**permalink**) 30/10/2006, 19:28

Profundizando un poco más sobre la falla de seguridad .. Principalmente afectaría a servidores con configuración de PHP:

magic_quote_gpc = 0

Cabe destacar que PHP por defecto (versiones 5.x e inferiores) viene con dicha directiva a "1".

La solución principal es la de filtrar las variables externas a la hora de atacar las consultas SQL que se realizan.

Principalmente usando:

mysql_real_escape_string()
www.php.net/mysql_real_escape_string

Aplicado a las variabels externas $_POST ... que se usan.

Un artículo completo al respecto:
http://foro.elhacker.net/index.php/topic,142203.0.html

Un saludo,

Cluster · #4 (**permalink**) 30/10/2006, 19:32

Cita:

Iniciado por foo

viendo en este momento el codigo de la version afectada, se puede ver que existen otros problemas tambien, a parte de sql injection, tambien sufre ante ataques xss y "session fixation"

Realmente en su época no filtré para nada las variables externas ..

Pero el tema de "session fixation" podrías concretar el por qué? .. Bueno, supongo que irá de la mano de XSS.

Un saludo,

foo · #5 (**permalink**) 30/10/2006, 19:58

Cita:

Iniciado por Cluster

Pero el tema de "session fixation" podrías concretar el por qué? .. Bueno, supongo que irá de la mano de XSS

va de la mano en parte, puesto que un ataque xss permitiria conocer el valor de PHPSESSID y hacer que 2 usuarios compartan la misma sesion

como se puede ver en [1], se puede hacer este ataque sin necesidad de que la pagina en cuestion sea vulnerable a xss

en general este ataque se produce porque no compruebas que ya exista una sesion valida, ni regeneras el id de la sesion al momento de asignar los nuevos datos.

[1] http://shiflett.org/articles/security-corner-feb2004

Cluster · #6 (**permalink**) 30/10/2006, 20:09

Cita:

Iniciado por foo

va de la mano en parte, puesto que un ataque xss permitiria conocer el valor de PHPSESSID y hacer que 2 usuarios compartan la misma sesion

como se puede ver en [1], se puede hacer este ataque sin necesidad de que la pagina en cuestion sea vulnerable a xss

en general este ataque se produce porque no compruebas que ya exista una sesion valida, ni regeneras el id de la sesion al momento de asignar los nuevos datos.

[1] http://shiflett.org/articles/security-corner-feb2004

Gracias,

Un saludo,

juanitovoy · #7 (**permalink**) 22/12/2006, 07:53

Cita:

Iniciado por Cluster

Profundizando un poco más sobre la falla de seguridad .. Principalmente afectaría a servidores con configuración de PHP:

magic_quote_gpc = 0

Cabe destacar que PHP por defecto (versiones 5.x e inferiores) viene con dicha directiva a "1".

La solución principal es la de filtrar las variables externas a la hora de atacar las consultas SQL que se realizan.

Hola,

Entiendo que despues de mirar el php.info de mi server php y el
magic_quote_gpc = 0 aparece con las siguientes especificaciones ;

magic_quotes_gpc On (local value) On (Master value)

No afecta por ser On = 1 ?

Gracias por ayuda,
saludos

Celcius · #8 (**permalink**) 22/12/2006, 10:15

Pedon que meta mi cuchara en esto, pues no soy tan entendido como ustedes (aun), pero se me ocurre, despues de leer esta definicion (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL) de lo que es "SQL inyection" uno podria poner un mínimo y un maximo al numero de caracteres ingresados por el usuario no? como para no dar chance a que ingresen una sentencia SQL? peero como sé que debe haber otro "Camino para Roma", me gustaria saber cuales podrian ser las vulnerabilidades que creen ustedes pueda tener este metodo?... total de todo se aprende ;)

saludos!

vevni · #9 (**permalink**) 22/12/2006, 12:48

cluster, podras proporcionar el cdigo aqui en el foro, para que lo analizemos con mas detalle, bueno en mi caso, quisiera leerlo, y pues no lo pude bajar de tu web por lo del bug...
si me lo puedes proporcionar en el foro......
lo tenia pero..se daño mi HD--

grax.

Cluster · #10 (**permalink**) 23/12/2006, 15:35

Cita:

Iniciado por vevni

cluster, podras proporcionar el cdigo aqui en el foro, para que lo analizemos con mas detalle, bueno en mi caso, quisiera leerlo, y pues no lo pude bajar de tu web por lo del bug...
si me lo puedes proporcionar en el foro......
lo tenia pero..se daño mi HD--

grax.

Dejé el código original para su analisis en:

http://php.cluster-web.com/autentificator_v201.zip

Un saludo,

Cluster · #11 (**permalink**) 23/12/2006, 15:38

Cita:

Iniciado por Celcius

Pedon que meta mi cuchara en esto, pues no soy tan entendido como ustedes (aun), pero se me ocurre, despues de leer esta definicion (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL) de lo que es "SQL inyection" uno podria poner un mínimo y un maximo al numero de caracteres ingresados por el usuario no? como para no dar chance a que ingresen una sentencia SQL? peero como sé que debe haber otro "Camino para Roma", me gustaria saber cuales podrian ser las vulnerabilidades que creen ustedes pueda tener este metodo?... total de todo se aprende ;)

saludos!

Podría ser una solución .. incluso "parsear" el dato que te ingresan en busca de palabras "clave SQL" .. (buscar un: SELECT, ... DELETE, INSERT, UNION .. etc), para negarlas u omitirlas, pero realmente lo que se debería hacer es "escapar" las comillas como ya mencioné en caso de que entren tal cual (por configuración de PHP) pues ahí está la "inyección" que se hace.

Un saludo,

Cluster · #12 (**permalink**) 23/12/2006, 15:44

Cita:

Iniciado por juanitovoy

Hola,

Entiendo que despues de mirar el php.info de mi server php y el
magic_quote_gpc = 0 aparece con las siguientes especificaciones ;

magic_quotes_gpc On (local value) On (Master value)

No afecta por ser On = 1 ?

Gracias por ayuda,
saludos

En principio no afecta directamente la falla de seguridad, pues como ya he comentado y pueden ver en el reporte de la falla de seguridad, el tipo de sentencia SQL a ejecutar al menos contiene alguna "comilla ' ..".

Por cierto .. por más que pruebo los ejemplos del "sploit" con las sentencias SQL típicas para tal fin .. con magic_quote_gpc a OFF .. realmente no he conseguido reproducir la falla de seguridad u obtener algo del mismo.

Si alguien -con el código original- reproduce el problema .. por favor, hacer una pequeña guía e indicar su configuración al respecto de magic_quote_gpc .. y que "consiguen".

Por esto mismo por mi parte no he lanzado versión nueva .. simplemente por cautela desactivé su descarga "oficial" y ya indiqué a quien lo pregunta como paliar el problema.

Un saludo,