Seguridad de mi web, vulnerabilidades

Adrii952 · #1 (**permalink**) 28/05/2012, 09:03

Buenas, me gustaría que me ayudasen a probar la seguridad de la red que estoy creando en PHP.

El sitio es http://cioscloud.com

Básicamente me gustaría saber que vulnerabilidades tiene y cómo solucionarlas, también si todo funciona correctamente y sin problemas.

Se trata de una especia de red social que permite la subida de ficheros, todavía le queda mucho por hacer.

No me lo peten mucho que le tengo cariño a la web y al ancho de banda que es un server casero de momento ._.

Espero que me ayuden, Gracias.

stramin · #2 (**permalink**) 28/05/2012, 09:51

Información
Error: Dirección de email no válida.
Registro completado satisfactoriamente
Invalid address: asdfasdf
Error: No se pudo enviar el email de validación.
Mailer Error: You must provide at least one recipient email address.
Volver

Ahí algunos problemas, parece ser que aún habiendo fallado las validaciones intenta registrar y enviar el e-mail y hasta dice que se completo satisfactoriamente, revisa eso e intento de nuevo :)

Adrii952 · #3 (**permalink**) 28/05/2012, 09:56

Lo acabo de ver, tu debes ser asdfasdf xD
Ya he solucionado lo del correo. Gracias :)

stramin · #4 (**permalink**) 28/05/2012, 10:24

vaya, iba todo bien hasta que me loguee:

Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'stramin''' at line 1

tendrás que escapar esa linea también :)

Recuerda que hay nombres como O'connors, Donald's, O'higgins, O'brian, O'neil, etc.

Adrii952 · #5 (**permalink**) 28/05/2012, 11:24

Ya debería estar solucionado.. Me ha costado encontrarlo y es que le había puesto el escape a la línea que compara los datos del login y no a la que actualiza la base al hacer login.
Me estás ayudando mucho, gracias :)

cuasatar · #6 (**permalink**) 28/05/2012, 11:30

Este no es un error de seguridad pero no he podido dejarlo pasar por alto porque me dio mucha risa y me salio al momento de registrarse.

Cita:

·El nombre de usuario no puede contener espacios o carácteres espaciales.

Juro que solo utilizo carácteres terrestres.

p.s. Si tengo tiempo luego trato de mirar algo de la seguridad del aplicativo.

stramin · #7 (**permalink**) 28/05/2012, 11:32

la parte que dice "Cambiar color de fondo" es un link, que llega hasta el input de texto, por lo tanto si intento escribir algo ahí se activa el enlace que me deja en "peticiones de amistad".

<a href="inicio.php?func=peticiones">
<div id="caja"><p>Cambiar color de fondo</p>
<label for="color">Color:</label><br>
<input type="text" name="color" id="color" maxlength="7" value="#8D98A7"><br>
<input type="submit" name="Submit" value="Guardar cambios">
</div>
</a>

Si te fijas la etiqueta <a> cubre todo el div y los elementos de formulario

stramin · #8 (**permalink**) 28/05/2012, 11:36

Subiendo archivo:

Información
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'stramin'','1338226328','200.74.46.44','3d9f7bf7e1 70c11276','603f45eb9d','image/j' at line 2

para variar es problema del nick...

quizás sería mejor que no permitieses que se pueda registrar gente con apostrofes ( ' ).

Adrii952 · #9 (**permalink**) 28/05/2012, 11:46

Jajajaj yo también me he reído con la errata del registro xD

@stramin me he creado una cuenta con comillas para probar y la pagina entera va FATAL, con un nombre de usuario normal funciona perfectamente. Todavía estoy viendo cómo puedo solucionarlo D:

Para los datos del usuario hago un
$row = mysql_fetch_array(mysql_query(SELECT blabla from usuarios WHERE blabla..));

Y luego a partir del row muestro datos como por ejemplo al principio sería:
Hola ".$row['nombre_mostrar'].", tu IP actual es ".$row['ip_ultima_actualizacion']."...

¿Cómo puedo hacer para que no interfieran las comillas del nick? Gracias

cuasatar · #10 (**permalink**) 28/05/2012, 11:52

Jajaja ya fuera de bromas comento cosas que he visto. ¿El nombre para mostrar permite carácteres especiales? Lo pregunto porque coloque uno y me lo paso, ademas el nombre de usuario me dejo escribirlo con espacio.

Igual cuando uno trata de cambiar el color de fondo si coloco un número falso (ejemplo #00FFUJ) me lo cambio a verde aun a pesar de que este número no existe. Deberias validar eso o poner un selector de colores.

Igual me salio un mensaje de 1lol arriba al tratar de cambiarle los colores.

El buscador lo use con 'stramin y lo encuentra, pero no tengo manera de interactuar con esa búqueda que encontre.

Revisa varios errores de validación en

http://validator.w3.org/check?uri=ht...Inline&group=0

Si veo mas cosas ya las comentare.

Adrii952 · #11 (**permalink**) 28/05/2012, 12:10

No debería admitir espacios en el nombre de usuario pero ya debe de estar solucionado. En el nombre para mostrar se puede poner cualquier carácter, espacio y símbolo, es como el Alias de Twitter.

El lol te debió de aparecer mientras modificaba el php para hacer pruebas xD

Respecto al nombre de usuario de stramin, no se puede interactuar porque el nick está entre comillas y todavía no he conseguido hacer funcionar el script con nicks que tienen comillas. No sé como solucionarlo. Pero si buscas 'a' y seleccionas otro usuario te debería poder dejar interactuar si no me equivoco.

Lo de las comillas no me lo esperaba para nada, es un gran fallo.

Gracias de nuevo por ayudarme tanto con mi web, espero que sigan reportandome cosas para que lo solucione y esté todo perfecto! :P

stramin · #12 (**permalink**) 28/05/2012, 12:44

Lo mejor sería no permitir que se puedan registrar nombres con comillas, despues de todo no creo que sea tan terrible que O'really se muera por ponerse Oreally XD

si prohibes las comillas se soluciona todo el problema

Adrii952 · #13 (**permalink**) 28/05/2012, 14:03

Ya no hace falta prohibir nada, funciona todo perfectamente. Me he tirado una hora poniendo el mysql_scape_string en todas las variables de consultas SQL pero ha merecido la pena, ahora funcionan las comillas perfectamente y estoy más protegido contra inyecciones sql.
Prueben ahora a ver que tal funciona todo! Espero que les guste la página ahora que funciona como dios manda xD.
Respecto a lo del doctype y todo eso todavía tengo que mirarlo, tengo que darle forma a todo el sistema de diseño porque está un poco bastante esparcido y no me entero.
Gracias de nuevo

EduardoU24 · #14 (**permalink**) 28/05/2012, 14:16

Comparte el código y podremos ayudar mas.
si es que es una opción claro.

stramin · #15 (**permalink**) 28/05/2012, 14:21

XD

Información
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '.jpg','48620e46751f','\'stramin\'','1338236264',' 200.74.46.44','9da38746379b6907' at line 2

Bueno esta fue malversada, subí una imágen que tiene una comilla XD

imagen'.jpg

EduardoU24 · #16 (**permalink**) 28/05/2012, 14:22

Note que te puedes registrar con 2 cuentas diferentes pero con el mismo "nombre para mostrar" por lo que habrá gente duplicada, y causara un caos que destruirá el mundo.

Ademas, dejar que el usuario y la contraseña sean lo mismo (paralelepipedo y paralelepipedo) es algo inseguro para el usuario, faltaria un mensaje como "Hey idiota, quieres que un simio con sindrome te 'hackee' la cuenta?"

stramin · #17 (**permalink**) 28/05/2012, 14:34

lo rompí! D=

reestablece mi color de fondo please, dejé todo inoperable...

Adrii952 · #18 (**permalink**) 28/05/2012, 14:36

Stramin, lo de la foto ya debería estar solucionado, vuelve a probar y me cuentas.
Al final va a haber más mysql_real_escape_string que consultas en mi código jajajaj

Respecto a lo de registrarse con varios nombres para mostrar es normal.
Es como en twitter, tu tienes tu nombre de usuario fijo, y luego el alias que lo puedes cambiar cuando quieras.
El nombre de usuario es como el identificador en la red, como en mi caso Adrii952, y el nombre para mostrar pueden ser tu nombre y apellido, como en facebook.
No sé si me explico xD

Respecto a lo de compartir el código, me preguntáis lo que queráis saber y os lo paso y explico, porque si os lo diera tal cual pensaríais que tengo algún tipo de deficiencia mental al programar pero tampoco se puede esperar mucho de un chaval de 17 años que nunca ha recibido clases de programación. Vamos, que el código ahora mismo está a lo borrador, ahora estoy de exámenes así que simplemente lo dejo funcionando bien y punto, todavía le falta mucho al sistema como foto de perfil panel de configuración, comentarios en el tablón, timeline, mensajes privados, historial de notificaciones, herramientas, albumes, sistema para evitar el pirateo y poco más. Lo tengo todo ideado, solo necesito tiempo para escribirlo.
Este verano me dedicaré a reescribir todo y dejarlo bonito con comentarios y todo lo que haga falta para entenderme bien y a optimizarlo.

Pero vamos, que si quieres que te explique algo, que te pase alguna parte del código, o que te explique cómo administro la base de datos, yo te lo explico sin ningún problema.

De nuevo gracias por ayudarme a encontrar problemas a mi web porque yo no tengo mucho tiempo para probar todo :/

Cita:

Iniciado por stramin

lo rompí! D=
reestablece mi color de fondo please, dejé todo inoperable...

Restablecido manualmente, pero dime, cómo has hecho para no poder cambiarlo de nuevo? ._. Ahora le pondré un filtrillo para evitar problemas xD

PD: Alguien que se ha registrado ha puesto una errata en su email (@hotmail.ex), se la he cambiado a .es y le he activado el perfil, que me daba palo tener que reenviar el email manualmente, así que no es un fallo del codigo xD
PD2: Si, vuestras contraseñas están encriptadas

stramin · #19 (**permalink**) 28/05/2012, 14:42

XD te recomiendo que sean solo números, lo que hice fue poner esto:

"><!--

lo cual cierra el cambio de color y luego deja la página comentada.

sería problemático si alguien hiciese eso en el nombre de usuario, y ahora que lo pienso... tengo que arreglar algo en uno de mis sitios web XD

Adrii952 · #20 (**permalink**) 28/05/2012, 14:46

Cita:

Iniciado por stramin

y ahora que lo pienso... tengo que arreglar algo en uno de mis sitios web XD

Jajajajaj usa preg_replace, igual que he puesto en registrar.php después de todo el lío de las comillas ._.

EduardoU24 · #21 (**permalink**) 28/05/2012, 14:46

Lo de programar como retrasado, no importa, te traumatizas con las cosas que e visto en mi vida.

Adrii952 · #22 (**permalink**) 28/05/2012, 15:00

Cita:

Iniciado por EduardoU24

Lo de programar como retrasado, no importa, te traumatizas con las cosas que e visto en mi vida.

Ahora mismo si dejo de mirar el código una semana, y después de ese tiempo lo vuelvo a mirar, te juro que me parecerá chino mi propio código xD Me ha pasado muchas veces a pesar de poner comentarios ._.

Función de redondeado:

Código PHP:

  function redondeado ($numero, $decimales) {  
   $factor = pow(10, $decimales);  
   return (round($numero*$factor)/$factor);  
}

Función de redondeado de tamaño para los ficheros.

Código PHP:

  function redondea_tamaño ($tamaño_a_redondear, $texto_redondea_tamaño) { 
    if (($tamaño_a_redondear >= 0) && ($tamaño_a_redondear <= 1024)) { 
        echo ($texto_redondea_tamaño.$tamaño_a_redondear.' bytes'); 
    } 
    if (($tamaño_a_redondear >= 1024) && ($tamaño_a_redondear <= 1048576)) { 
        echo ($texto_redondea_tamaño.(redondeado($tamaño_a_redondear/1024,1)).' KB'); 
    } 
    if (($tamaño_a_redondear >= 1048576) && ($tamaño_a_redondear <= 1073741824)) { 
        echo ($texto_redondea_tamaño.(redondeado($tamaño_a_redondear/1024/1024,1)).' MB'); 
    } 
    if ($tamaño_a_redondear >= 1073741824) { 
        echo ($texto_redondea_tamaño.(redondeado($tamaño_a_redondear/1024/1024/1024,1)).' GB'); 
    } 
}

Y esta grandota la que uso para convertir los timestamps a fecha española.
No sé si os habréis fijado pero si posáis el ratón encima de una fecha tipo "Hace 3 minutos" os sale un cuadro con la fecha completa.

Código PHP:

  function ConvierteFecha ($timestamp, $timestamp_actual) { 
    $diferencia_timestamp = ($timestamp_actual - $timestamp); 
    if ($diferencia_timestamp < 60) {$tiempo = "Hace menos de un minuto";} 
    if (($diferencia_timestamp >= 60) && ($diferencia_timestamp < 3600)) { 
        $calculo = intval($diferencia_timestamp/60); 
        if ($calculo == 1) { 
            $tiempo = "Hace un minuto"; 
        } else { 
            $tiempo = "Hace ".$calculo." minutos"; 
        } 
    } 
    if (($diferencia_timestamp >= 3600) && ($diferencia_timestamp < 86400)) { 
        $calculo = intval($diferencia_timestamp/3600); 
        if ($calculo == 1) { 
            $tiempo = "Hace una hora"; 
        } else { 
            $tiempo = "Hace ".$calculo." horas"; 
        } 
    } 
    if (($diferencia_timestamp >= 86400) && ($diferencia_timestamp < 259200)) { 
        $calculo = intval($diferencia_timestamp/86400); 
        if ($calculo == 1) { 
            $tiempo = "Hace un día"; 
        } else { 
            $tiempo = "Hace ".$calculo." días"; 
        } 
    } 
     
    $dias_semana = array ("Domingo", "Lunes", "Martes", "Miercoles", "Jueves", "Viernes", "Sabado");  
    $meses = array ("", "Enero", "Febrero", "Marzo", "Abril", "Mayo", "Junio", "Julio", "Agosto", "Septiembre", "Octubre", "Noviembre", "Diciembre"); 
    $fecha = ($dias_semana[date("w", $timestamp)].", ".date("d", $timestamp)." de ".$meses[date("n",$timestamp)]." del ".date("Y", $timestamp)." a las ".date("H:i:s",$timestamp)); 
     
    if ($diferencia_timestamp >= 259200) {$tiempo = $fecha;} 
    echo ("<label title='".$fecha."'>".$tiempo."</label>"); 
}

Este lo uso para doble-encriptar la contraseña en registrar.php

Código PHP:

  $contraseña = sha1(md5(trim($_POST['password'])));

Por si os interesa, también os puedo explicar lo del CSS variable, que básicamente es un fichero php que funciona de css. En el código fuente se ve.

PD: Ya solucioné lo de la casilla de colores y la de buscar usuarios.

stramin · #23 (**permalink**) 28/05/2012, 15:06

bueno, yo no he encontrado nada más.

Adrii952 · #24 (**permalink**) 28/05/2012, 15:11

Cita:

Iniciado por stramin

bueno, yo no he encontrado nada más.

Okey muchisimas gracias, creí que tenía algo decente y me has hecho ver muchos fallos.
¿Volviste a probar lo de subir un fichero con comillas? Creo que lo corregí
Otra cosa que me interesa es ocultar la ubicación de los ficheros subidos.. ¿Éxito mi sistema de ficheros o se puede averiguar? xD
Emm se me olvidaba, si ponen 'random' en la casilla del color, os sale un color al azar a cada actualización xD

villano4 · #25 (**permalink**) 29/05/2012, 12:32

veo que existen dos id "caja", para dos divs diferentes, los id deben ser unicos, sino a futuro te va a causar problemas

Adrii952 · #26 (**permalink**) 29/05/2012, 15:37

Cita:

Iniciado por villano4

veo que existen dos id "caja", para dos divs diferentes, los id deben ser unicos, sino a futuro te va a causar problemas

Es sólo para decirle que dentro de ese div va el diseño CSS correspondiente a caja para generar el cuadro blanco donde va todo el texto. Creo que se tiene que hacer así ¿no? Gracias

villano4 · #27 (**permalink**) 29/05/2012, 15:58

entonces debe ser en lugar de una id, un class, ponlo asi class="cuadro", en lugar de id="cuadro", y en el css cambia el # por .

Adrii952 · #28 (**permalink**) 29/05/2012, 17:45

Cita:

Iniciado por villano4

entonces debe ser en lugar de una id, un class, ponlo asi class="cuadro", en lugar de id="cuadro", y en el css cambia el # por .

Okey gracias! La verdad es que no se casi nada de CSS y HTML como dios manda ._.
En cuanto tenga tiempo lo cambio que ahora estoy liadísimo con exámenes y otras cosas D:

Por cierto, a los que se han registrado con una errata en el email, o con una dirección de correo electrónico falsa, ya pueden cambiarla y volver a recibir el enlace de activación al hacer loguin. Saludos.