Problema con Inyección SQL!

ZeThito · #1 (**permalink**) 04/03/2011, 11:49

Tengo una página la cual hace publicaciones de anuncios, bueno y ayer con un programa para buscar vulnerabilidades (acunetix) encontré que tenia esta grave vulnerabilidad, la cual puedo publicar a través del mismo programa muchos registros (anuncios).

Bueno desde entonces empecé a buscar formas de corregir este problema y encontré una función que debía aplicar en todas mis sentencias SQL cuando envió parámetros.

Entonces aplique esta función:

Código SQL:

Ver originalINSERT INTO `publicaciones` VALUES(
                                                                                    '',
                                                                                    \"" .mysql_real_escape_string($idCiudad). "\",
                                                                                    $idComuna,
                                                                                    \"" .mysql_real_escape_string($idCategoria). "\",
                                                                                    \"" .mysql_real_escape_string($idSubcategoria). "\",
                                                                                    \"" .mysql_real_escape_string($nombre). "\",
                                                                                    \"" .mysql_real_escape_string($email). "\",
                                                                                    \"" .mysql_real_escape_string($telefono). "\",
                                                                                    \"" .mysql_real_escape_string($titulo). "\",
                                                                                    \"" .mysql_real_escape_string($contenido). "\",
                                                                                    \"" .mysql_real_escape_string($precio). "\",
                                                                                    \"" .mysql_real_escape_string($tipo). "\",
                                                                                    \"" .mysql_real_escape_string($tiempo). "\",
                                                                                    \"" .mysql_real_escape_string($imagen). "\",
                                                                                    \"" .mysql_real_escape_string($random). "\"
                                                                                )";

Bueno está función no me arroja error y registra normalmente mi anuncio.

Luego volví al programita (acunetix) y aplique Start... Y bueno volvieron aparecer las vulnerabilidades Inyection SQL, y sucedió lo mismo, "puedo hacer inyecciones sql masiva e insertar miles de publicaciones.

No sé cómo puedo arreglar esto, ya que he aplicado lo que encontré sobre los escapes en las comillas, pero no paso nada. =/

Dejo mí un trozo de mi código donde valida un poco, ya que de todas formas en la página donde tengo el formulario valida todos los campos con jquery y además tiene un captcha, aún así se puede hacer estas inyecciones vía POST.

Código PHP:

Ver originalif(isset($_SESSION['Random']) == isset($_POST['math']) && isset($_POST['idCiudad']) && isset($_POST['idCategoria'])){
 
    $idCiudad                           = $_POST['idCiudad'];
    $idComuna                           = $_POST['idComuna'];
    $idCategoria                        = $_POST['idCategoria'];
    $idSubcategoria                     = $_POST['idSubcategoria'];
        
    $nombre                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '',$_POST['nombre']));
    $email                              = strtolower(strip_tags($_POST['email']));
    $telefono                           = $_POST['telefono'];
    $titulo                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '',$_POST['titulo']));
    $contenido                          = $_POST['contenido'];
    $precio                             = $_POST['precio'];
    $tipo                               = $_POST['tipo'];
    $tiempo                             = date("Y-m-d H:i:s",time());
    $random                             = rand(123456789,987654321);
    $archivo                            = $_FILES['file']['tmp_name'];

Una Foto del programa, donde marco el boton Start y me realiza las miles de Inyecciones SQL a mi Base de datos...

Espero que alguién sepa como corregir esto y me ayuda, saludos!!

s00rk · #2 (**permalink**) 04/03/2011, 18:55

Mira aqui ya explique un poco sobre esto y mostre un codigo que ayudaria en ello bastante, espero te sirva

http://www.forosdelweb.com/f18/inyec...5/#post3766702

ZeThito · #3 (**permalink**) 04/03/2011, 22:07

Hola s00rk, aplique la función ! pero no me ha funcionado, las inyecciones siguen teniendo efecto.

Aquí puse la función cuando recibe los $_POST[] :

Código PHP:

Ver original<?php
session_start();
error_reporting(E_ALL & ~E_NOTICE);
date_default_timezone_set("America/Santiago");
 
    include_once('../modelo/Publicar.php');
    
    if(isset($_SESSION['Random']) == isset($_POST['math']) && isset($_POST['idCiudad']) && isset($_POST['idCategoria'])){
    
    /*function seguridad($value){
        return mysql_real_escape_string($value);
    }*/
    
    /*  function escape($str){
          $search=array("\\","\0","\n","\r","\x1a","'",'"');
          $replace=array("\\\\","\\0","\\n","\\r","\Z","\'",'\"');
            return str_replace($search,$replace,$str);
      }*/
       function clean($value)
       {
            $check = $value;
            $value = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$value);
            $value = trim($value);
            $value = strip_tags($value);
            $value = addslashes($value);
            $value = str_replace("'", "''", $value);
 
            if( $check != $value )
            {
                $logf = fopen("logs/injection.txt", "a+");
                fprintf($logf, "Fecha: %s IP: %s Valor: %s, Corregido: %s\r\n", date("d-m-Y h:i:s A"), $_SERVER['REMOTE_ADDR'], $check, $value );
                fclose($logf);
                alertbox("Que intentas hacer? (: , Mejor mira esto xD", "http://www.google.com/");
            }
 
            return( $value );
        }
 
        if(!function_exists("alertbox")){
            function alertbox($text, $url)
            {
                echo "<body  bgcolor='#000000'><script>alert('$text');document.location = '$url'</script></body>";
                die("Javascript disabled");
            }
        }
    
 
        $idCiudad                           = strip_tags(clean($_POST['idCiudad']));
        $idComuna                           = strip_tags(clean($_POST['idComuna']));
        $idCategoria                        = strip_tags(clean($_POST['idCategoria']));
        $idSubcategoria                     = strip_tags(clean($_POST['idSubcategoria']));
        
        $nombre                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '', clean($_POST['nombre'])));
        $email                              = strtolower(strip_tags(clean($_POST['email'])));
        $telefono                           = strip_tags(clean($_POST['telefono']));
        $titulo                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '', clean($_POST['titulo'])));
        $contenido                          = clean($_POST['contenido']);
        $precio                             = strip_tags(clean($_POST['precio']));
        $tipo                               = strip_tags(clean($_POST['tipo']));
        $tiempo                             = date("Y-m-d H:i:s",time());
        $random                             = rand(123456789,987654321);
        $archivo                            = $_FILES['file']['tmp_name'];

Al volver a inicar el programita (acunetix)

Luego :

Se aprecia que el metodo sql_regcase() dice que esta obsoleta :S
http://php.net/manual/es/function.sql-regcase.php

Bueno y al final con presionar Start y hacer las inyecciones, voy a la página y :

------------
Muestro mi método donde inserto a MySQL, el cual también he colocado la función: mysql_real_escape_string()

Código PHP:

Ver original// Método que hace inserción de una publicacion.
        public function setPublicaciones($idCiudad,$idComuna,$idCategoria,$idSubcategoria,$nombre,$email,$telefono,$titulo,$contenido,$precio,$tipo,$tiempo,$imagen,$random){
            
            try{
                //Instanciamos la Clase Conexion para MySQL.
                $dbConectar     = new Conexion;
                $dbCon          = $dbConectar->conectarClasico();
                
                if($idComuna == 0) $idComuna = 'NULL';
            
                
                $this->SQL      = "INSERT INTO `publicaciones` VALUES(
                                                                        '',
                                                                        \"" .mysql_real_escape_string($idCiudad). "\",
                                                                        $idComuna,
                                                                        \"" .mysql_real_escape_string($idCategoria). "\",
                                                                        \"" .mysql_real_escape_string($idSubcategoria). "\",
                                                                        \"" .mysql_real_escape_string($nombre). "\",
                                                                        \"" .mysql_real_escape_string($email). "\",
                                                                        \"" .mysql_real_escape_string($telefono). "\",
                                                                        \"" .mysql_real_escape_string($titulo). "\",
                                                                        \"" .mysql_real_escape_string($contenido). "\",
                                                                        \"" .mysql_real_escape_string($precio). "\",
                                                                        \"" .mysql_real_escape_string($tipo). "\",
                                                                        \"" .mysql_real_escape_string($tiempo). "\",
                                                                        \"" .mysql_real_escape_string($imagen). "\",
                                                                        \"" .mysql_real_escape_string($random). "\"
                                                                    )";
                                                        
                mysql_query($this->SQL,$dbCon) or die(mysql_error());
            
                //Cerramos conexion.
                mysql_close($dbCon);
                
            }catch(Exception $e){
                //Cerramos conexion.
                mysql_close($dbCon);
                
                return $e;
            }
        }

Las Inyecciones SQL aún afectan a mi página :(

Ayuda!!!!! SOS

HackmanC · #4 (**permalink**) 04/03/2011, 23:53

Hola,

Cita:

Iniciado por ZeThito

if(isset($_SESSION['Random']) == isset($_POST['math'])

¿Que se supone que es eso? ¿Tu validación del captcha?

Saludos,

ZeThito · #5 (**permalink**) 05/03/2011, 00:05

Hola =)

La validacíón del captcha esta con jQuery.

Cita:

if(isset($_SESSION['Random']) == isset($_POST['math'])

Esto es solo una validación para que el usuario no ingrese por Url a esta página,

Al final tengo:

Cita:

}else{header('refresh: 0; url = /web/'); }

ZeThito · #6 (**permalink**) 05/03/2011, 00:55

Dejaré mi código, haber si alguien descubre mi problema =(

Recibo los Datos :

Código PHP:

Ver original<?php
session_start();
error_reporting(E_ALL & ~E_NOTICE);
date_default_timezone_set("America/Santiago");
 
    include_once('../modelo/Publicar.php');
    
    if(isset($_SESSION['Random']) == isset($_POST['math']) && isset($_POST['idCiudad']) && isset($_POST['idCategoria'])){
 
    $idCiudad                           = strip_tags((int)$_POST['idCiudad']);
    $idComuna                           = strip_tags((int)$_POST['idComuna']);
    $idCategoria                        = strip_tags((int)$_POST['idCategoria']);
    $idSubcategoria                     = strip_tags((int)$_POST['idSubcategoria']);
        
    $nombre                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '', $_POST['nombre']));
    $email                              = strtolower(strip_tags($_POST['email']));
    $telefono                           = strip_tags((int)$_POST['telefono']);
    $titulo                             = strip_tags(str_replace(array( '@', '¬', '/', '&', '%' ), '',$_POST['titulo']));
    $contenido                          = $_POST['contenido'];
    $precio                             = strip_tags(floatval($_POST['precio']));
    $tipo                               = strip_tags((int)$_POST['tipo']);
    $tiempo                             = date("Y-m-d H:i:s",time());
    $imagen                             = 'QsXzxcCsDvfD.png'
    $random                             = rand(123456789,987654321);
 
    
        
        // Metodo para registrar una publicación.
        $metodo = new Publicar;
        $metodo->setPublicaciones(
                                    $idCiudad,
                                    $idComuna,
                                    $idCategoria,
                                    $idSubcategoria,
                                    $nombre,
                                    $email,
                                    $telefono,
                                    $titulo,
                                    $contenido,
                                    $precio,
                                    $tipo,
                                    $tiempo,
                                    $imagen,
                                    $random
                                );
        
        session_unset();
        session_destroy();
        
 
            
    }else{
            header('refresh: 0; url = /web/'); 
    }
?>

Metodo para hacer el INSERT en MySQL.

Código PHP:

Ver original// Método que hace inserción de una publicacion.
        public function setPublicaciones($idCiudad,$idComuna,$idCategoria,$idSubcategoria,$nombre,$email,$telefono,$titulo,$contenido,$precio,$tipo,$tiempo,$imagen,$random){
            
            try{
                //Instanciamos la Clase Conexion para MySQL.
                $dbConectar     = new Conexion;
                $dbCon          = $dbConectar->conectarClasico();
                
                if($idComuna == 0) $idComuna = 'NULL';
            
                
                $this->SQL      = "INSERT INTO `publicaciones` VALUES(
                                                                        '',
                                                                        \"" .mysql_real_escape_string($idCiudad). "\",
                                                                        $idComuna,
                                                                        \"" .mysql_real_escape_string($idCategoria). "\",
                                                                        \"" .mysql_real_escape_string($idSubcategoria). "\",
                                                                        \"" .mysql_real_escape_string($nombre). "\",
                                                                        \"" .mysql_real_escape_string($email). "\",
                                                                        \"" .mysql_real_escape_string($telefono). "\",
                                                                        \"" .mysql_real_escape_string($titulo). "\",
                                                                        \"" .mysql_real_escape_string($contenido). "\",
                                                                        \"" .mysql_real_escape_string($precio). "\",
                                                                        \"" .mysql_real_escape_string($tipo). "\",
                                                                        \"" .mysql_real_escape_string($tiempo). "\",
                                                                        \"" .mysql_real_escape_string($imagen). "\",
                                                                        \"" .mysql_real_escape_string($random). "\"
                                                                    )";
                                                        
                mysql_query($this->SQL,$dbCon) or die(mysql_error());
            
                //Cerramos conexion.
                mysql_close($dbCon);
                
            }catch(Exception $e){
                //Cerramos conexion.
                mysql_close($dbCon);
                
                return $e;
            }
        }

mogurbon · #7 (**permalink**) 05/03/2011, 01:05

y asi?

Código PHP:

  $this->SQL=sprintf("INSERT INTO `publicaciones` VALUES('',%d,%d,%d,%d,%s,%s,%s,%s,%s,%s,%s,%s,%s,%s)",mysql_real_escape_string($idCiudad),mysql_real_escape_string($idCategoria),mysql_real_escape_string($idSubcategoria),mysql_real_escape_string($nombre),mysql_real_escape_string($email),mysql_real_escape_string($telefono),mysql_real_escape_string($titulo),mysql_real_escape_string($contenido),mysql_real_escape_string($precio),mysql_real_escape_string($tipo),mysql_real_escape_string($tiempo),mysql_real_escape_string($imagen),mysql_real_escape_string($random));

HackmanC · #8 (**permalink**) 05/03/2011, 17:58

Cita:

Iniciado por ZeThito

Hola =)

La validacíón del captcha esta con jQuery.

Código PHP:

Ver originalif(isset($_SESSION['Random']) == isset($_POST['math'])

Esto es solo una validación para que el usuario no ingrese por Url a esta página,

Al final tengo:

Eso que pusiste allí se traduce en :

if (true == true ...
o false == false

No está comparando que Random == Math. Aunque Random se cree en otra página, puedes llamar a la otra página antes y después a esta.

Mmmm ... ¿y que se supone que tiene que ver JQuery con una validación del lado del servidor? Evidentemente el problema no es de inyección de SQL, pero por supuesto a mi no me creas nada de lo que escribo, porque el programa que usas ya te dijo que era inyección de SQL y por supuesto tienes que creer en lo que te dijo el programa.

El problema realmente es que no validas el captcha del lado del servidor, así que si hago un post manualmente con cualquier herramienta automatizada, el programa acepta la secuencia de insert's sin chistar. Es decir, si hago un programa que llame a la página donde está el insert y que mande datos por post y repito la operación miles de veces, entonces se insertan miles de veces, porque el la lógica está mal escrita isset() == isset() de una variable que está en SESSION y por eso crees que no se puede crear fácilmente, y porque no validas el capta sino con JQuery (que es javascript y corre del lado del cliente, cualquier validación del lado del cliente se puede falsificar fácilmente).

Como seguramente yo estoy equivocado, posiblemente alguien mas te sea de mayor ayuda,

Saludos,

ZeThito · #9 (**permalink**) 05/03/2011, 23:32

HackmanC , Muchas Gracias !!!!!

Tienes toda la razón, el isset() era el problema!

También agregue esto a mi código :

Código PHP:

Ver originalfunction output_safe($string) {
                    $chars = str_split($string);
                    $out_str = "";
                    foreach ($chars as $char){
                        if ($char == "a" || $char == "b" || $char == "c" || $char == "d" || $char == "e" || $char == "f" || $char == "g" || $char == "h" || $char == "i" || $char == "j" || $char == "k" || $char == "l" || $char == "m" || $char == "n" || $char == "o" || $char == "p" || $char == "q" || $char == "r" || $char == "s" || $char == "t" || $char == "u" || $char == "v" || $char == "w" || $char == "x" || $char == "y" || $char == "z" || $char == "A" || $char == "B" || $char == "C" || $char == "D" || $char == "E" || $char == "F" || $char == "G" || $char == "H" || $char == "I" || $char == "J" || $char == "K" || $char == "L" || $char == "M" || $char == "N" || $char == "O" || $char == "P" || $char == "Q" || $char == "R" || $char == "S" || $char == "T" || $char == "U" || $char == "V" || $char == "W" || $char == "X" || $char == "Y" || $char == "Z" || $char == "1" || $char == "2" || $char == "3" || $char == "4" || $char == "5" || $char == "6" || $char == "7" || $char == "8" || $char == "9" || $char == "0" || $char == "." || $char == "," || $char == "!" || $char == ":" || $char == "<" || $char == ">" || $char == "=" || $char == "'" || $char == "/" || $char == "?" || $char == "@" || $char == "%" || $char == "*" || $char == ";" || $char == "?" || $char == '"' || $char == "&" || $char == '\\' || $char == "#" || $char == "(" || $char == ")" || $char == "[" || $char == "]" || $char == "{" || $char == "}")
                        {
                            $out_str = $out_str.$char;
                        }
                    }
                    
                    $out_str = trim($out_str);
                    $out_str = strip_tags($out_str); // Quitar las Etiquetas HTML y PHP.
                    $out_str = htmlentities($out_str);
                    $out_str = mysql_real_escape_string($out_str);
                    $out_str = stripslashes($out_str);
                    return $out_str;
                }

He sacado los isset(), ahora el programa no detecta inyecciones sql.

Gracias!!!!!!

HackmanC · #10 (**permalink**) 07/03/2011, 20:33

Hola,

Perdón por todo el párrafo que me disparé, pero es que muchas veces me contestan: no ... estás equivocado y siguen con lo mismo de la inyección SQL,

Cita:

Iniciado por ZeThito

$out_str = mysql_real_escape_string($out_str);

Me alegro que hayas solventado tu duda, y solamente voy a agregar un último detalle, la inyección SQL se logra insertando caracteres que tienen un significado especial para el motor de base de datos, como las comillas, el punto y coma, el doble guión, etc.

La única instrucción necesaria en MySQL para evitar inyección SQL es mysql_real_escape_string, todo lo demás de strip_tags, htmlentities, etc., sirve para evitar otro tipo de mal uso de las páginas web, que también es inyección pero no inyección SQL, porque modifica otro tipo de contexto.

Como por el ejemplo, el caso de inyección de javascript dentro de un comentario de un post; pero lo que se conoce como inyección SQL es la modificación de una instrucción SQL para que realice actividades indeseadas en la base de datos y se evita en 'casi' todos los casos solamente con mysql_real_escape_string.

Saludos,