А войти туда собственно как? или только страничку входа можно посмотреть?

А ссылку-то на проект можно? Из подписи project.Alex-School.com - там только поле для логина NewLifeMan.com - этот вообще не открылся..

Ссылка - http://project.alex-school.com/

index.html - страница с формой..
login.html - принимает пароль и логин, проверяет и в случае, если данные совпадают, вы перенаправляетесь на старт.хтмл.. в противном - назад для авторизации..

Задача:
- Различными путями попасть на start.html

Пробуйте различные способы - со своей стороны я дал возможность просматривать выводимые ошибки.. Может они вам помогут.. Но после окончания тестирования, вывода ошибок не будет..

Через пару дней открою source code, но мне интересно может кто-то сможет без него выявить и помочь исправить бреши в безопасности..


А http://www.newlifeman.com/ работает.. странно..

Что ж. В случае с sql-injection, а на мой взгляд это единственный тип атаки (DOS атаки не в счет), который можно там проверить сейчас, я не силен. Единственное на что меня хватает, это вставить в строку ', \, /, %, _. С ними, кажись, работает

то есть работает..?

У тебя получилось зайти или выудить что-то стоящее из базы? или защита работает..

В коде я каждую входящую переменую проверяю..

Я же говорю, что вводил мусор, но все нормально. Странное, конечно, в целом поведение - сначала какая-то страница открывается с ошибкой, потом переходит на логин. В общем то это касается юзабилити, а не безопасности.

Но я уже сказал, что не силен в sql-инъекциях. Тааак... протыкал чуток. Но думаю, что там их нет вовсе.

PS: думаю, формочка маленькая слишком, чтобы развернуться на ней Может кто еще скажет, можно ли на эту страницу как-то XSS атаку провести. насколько я знаю нужна возможность редактировать контент этой страницы (типичный пример, любой веб 2.0 проект - блог, форум, соц. сеть и т.п.), но может каким-то зверски крутым хакерам такая возможность не нужна

Окно, которое появляется - редирект с login.html на индексную...

Скажите, а вы можете порекомендовать кого занающего..?
До офф выхода хотелось бы убрать максимум потенциальных лазеек..

Думаю, что большинство лазеек внутри. Форма входа не такая чтобы лазейка

Знающего хакера не знаю. Каждый программист в некоторой степени хакер, а каждый хакер в некоторой степени программист. Думаю, здесь подавляющее большинство именно программисты, а степень их "хакерности" я не знаю. Возможно, кто-то из них отпишет когда посмотрит эту тему.

Лично я полагаю, что на данной странице искать уязвимость практически бесполезно. Надо что-то большее.

Еще вариант - страница защищена от многократных быстрых вводов пароля?

Есть возможность, подобрать пароль ботом. в зависимости от его сложности за достаточно небольшое время. Если не хотите, чтобы бот зашел, то нужно ограничить это дело. Плюс - это возможность для DOS-атаки, если вы даете возможность вводить пароль хоть 1000 в секунду.

А тут у тебя прикольно: качай че хочешь

http://www.newlifeman.com/files/audio/

нафик сайт.

А по поводу alex-school.

Заметьте ребята, в форме есть encType="multipart/form-data" Видать можно грузить файлы, если узнаешь имя

http://project.alex-school.com/logout.html
существует, видимо для выхода

Не знаешь че такое нотайсы, и ловишь откуда пришел пользователь:
Notice: Undefined index: HTTP_REFERER in /home/alexsch/public_html/project/login.html on line 4

Это то, что дает login.html

Структура папочек небольшая

http://project.alex-school.com/admin/
http://project.alex-school.com/css/
http://project.alex-school.com/inc/
http://project.alex-school.com/design/
http://project.alex-school.com/js/

но все редиректится на главную.

Так то че ломать... нифига нету... Ты открывай сайт быстрей - поломаем...

А брутить неохота, зачем...

зачем брутфорс..

логин - demo
пароль - demo

Sylex хорошо разобрал. Очевидно, учитывая, что потратил скорее всего несколько минут.

NewLifeMan, его слушай. он шарит. мне проверять папочки

Sylex
Скачивай на здоровье.. Только без Попыток взлома...
Это мой домашний комп, на нем ДЕНВЕР установлен, а доступ к музыке для друзей открыл.. (там больше 5 песен..)

Я все же жду конкретных лазеек ..



==========
Исправил ошибку с "HTTP_REFERER"..

афигееееть. я сейчас с mozilla 2 зашел... не могу ничего разобрать. IE в принципе не использую. никогда бы не подумал, что можно так жестко написать сайт под IE, чтобы нигде больше не работали стили

http://project.alex-school.com/login.html

Parse error: syntax error, unexpected '{' in /home/alexsch/public_html/project/login.html on line 5

парень что-то правит

бугага, у тебя все через скрипт отдается?

да, из-за заголовков

NewLifeMan
Кстати ты сайты хостишь у себя дома? (Sylex спасибо за ссылку) А то что-то музыка плохо качается..

Отлично.. Исправил заголовки и все заработало..

Жду следующих преложений..

Веселая задачка. Но чесслово, я лично не стану задуряться. Если действительно нужна серьёзная защита, не прячь код и не устраивай ребусов. Покажи как устроено. Если есть дырки - тебе подскажут, а нет - значит действительно круто. В принципе, если сильно заморочиться, можно все что угодно поломать. Даже МВД-шные сайты ломают, что про банки говорить. Все дело в рентабельности взлома. А так развлекаться... Ни тебе ни отвечающим пользы нет. Так, на слабо развести только...

Как и обещал.. Выкладываю source code..

В оригинальных файлах почти тоже.. Во всяком случае этого хватит для анализа и поиска лазеек, если таковые есть..

Начнем по порядку..
INDEX.HTML




Я думаю, для опытных ребят комментарии не нужны..

И?

LOGIN.HTML

LOGOUT.HTML

PROJECT.CSS

START.HTML

И, наконец, LOCK.PHP

Ну а теперь, когда код перед вами, великие гуру, я жду мыслей по этому поводу..

Блин, зачем весь то код... Достаточно защиты.
Пока я не понял идеи. Писать id сессии в сессию... Интересно, а какова логика этого? Масло масляное... Вообще любопытно, ты думаешь наверно, что изобрел жутко непробиваемый способ? Так вот что интересно, чем больше этих изобретений, тем уязвимее код. Можно действительно придумать что то сверхестественное, но вряд ли это на php/ Не по тому что он плох, а по отому что не надо. Всё давно придумано.
Ну и дальше то что? Только плиз, пиши то, что касаемо защиты.

Объясню, в чем логика...

Когда человек пытается попасть на любую страничку, в первую очередь проверяеться, есть session_id. Если да, идем во временную базу и ищем там такое значение.. Во временной базе даные храняться не более суток (ночью происходит чистка). Если такое значение есть, то проверяется время авторизации и, если все норм, то человек попадает на запрашиваемую страницу..

Если сессия в базе устарела, она удаляется, а пользователь попадает на страницу авторизации. Тоже происходит, если сессия не создана или в систему пытается зайти человек с тем же логином, что уже в системе...

Причина такого подхода..
Только скрипт логин.хтмл имеет доступ к базе с паролями.. После успешной авторизации пользователя происходит копирование основных данных из главной таблицы пользователей во временную.. И далее работа ведеться только с временной таблицей..
Как вы понимаете, теперь ни с одного из скриптов не получиться добраться до базы с паролями пользователей...

А теперь прошу отписаться..

Никак нельзя было это все запаковать и выложить в архиве?

Вот дырка (и все подобные запросы):

Хотя

нет..

Читайте внимательно

Это программное обеспечение для школы..
Везде, где программа обращается к пользователю -> имя и фамилия, а не никнейм...

А как на счет остального кода?.. С сессиями я сейчас чего-нибудь придумаю..

с этим тоже..

А что вы скажете на этот счет

Нужно просто определиться, что есть что и что для чего..
1. Логин. Эта штука придумана для аунтификации, то есть для определения принадлежности каких то данных конкретному человеку. Все попытки зашифровать, спрятать и так далее логин не только бессмыслены по определению, но и усложняют жизнь (и доступ) добропорядочного юзера к сайту в принципе. Что по меньшей мере пахнет параноей, а по большей - некомпетентностью.
2. Пароль. Эта штука принадлежит юзеру и больше никому. Это его собственность и великая тайна, которую не должен знать ни кто, владелец сайта в первую очередь. Потому что зная эту информацию он невольно берет на себя ответственность за сохранность этой тайны. И если по его оплошности она станет достоянием гласности или попадет в руки злоумышленнику, то владелца сайта будут мучать ночные кошмары (угрызения совести).
По этому не нужно изобретать велосипедов, а нужно просто делать так, что бы максимально облегчить доступ добропорядочных юзеров к аккаунту и максимально оградить их от утечки информации.
Для этого пароль нужно необратимо шифровать при получении (md5 как минимум) и не трогать логин как таковой в принципе. Вот и всё.
То что касается несанкционированного доступа к страницам, вполне достаточно на входе проверить наличие сессионной переменной, которую нужно установить при аунтификации. Все извращения плана записи в сессию её же идентификатора - лишнее и совершенно бессмысленное действие.
Обычно подобного рода защиты изобретают люди, мало понимающие толк в происходящих процессах, и потому пытающиеся всякими извращениями запутать взломщика сами себя.

Не забывайте, что это не сайт, а программное обеспечение для школы...

РНР я изучаю немного меньше года.. но вопрос безопасности стоял не на первом месте.. в основном функциональность.. Но с начала учебного года я хочу открыть доступ на проект проект родителям и сотрудникам.. Поетому решил заняться безопасностью..


На счет хеша логина.. да это перебор.. ))
С сессиями тоже обещаю исправиться..

Но PHP
if($_SERVER['HTTP_REFERER'] !== 'http://project.alex-school.com/index.html')
{
GO_TO_LOGIN();
}

Какие есть альтернативы или дополнения, чтобы проверить, что данные отправлены именно с этой страницы?..

Теоритически это обезопасит от брутфорса

==============

И второе, как вы смотрите на такую модель..

Пройдя авторизацию, создаются переменные в сессии(Фамилия,Имя,.. браузер с которого заходили.., еще чего-нибудь нужного)
Также некоторые данные вносятся во временную базу(id сессии, браузер, дата входа)

После этого запросы на любую страницу будут проходить через проверку -
сущ. ли сессия, если да, то не устарела ли она.. Совпадает ли браузер запрашивающего страницу (может быть еще какие-то данные) с браузером пользователя, создавшего сессию в базе..

А к базе с пользователями больше не придется обращяться.. Таким образом исключиться СКЛ- Инъекция..



Исправте, если ход мыслей неверный...

то есть..?
При каждом запросе страницы подключаться к базе и вытаскивать из сессии ее ID, логин и хеш пароля для сверки с базой..
Что-то не пойму.. до какого уровня упростить все мою схему..

почему просто не защищать запросы при помощи хотя бы mysql_real_escape_string, а не сводить их количество к минимуму... чтобы риск взлома снизить. Защита от sql-инъекций достаточно просто делается то.

glock18
ну нужно-же как-то извратиться!

kirik, эт точно. я и сам люблю это. для разнообразия

Немного отвлекусь от темы.. Я сейчас редактирую проект на лок. сервере...

Я вчера написал скрипт для вывода всей своей муз.библиотеки...
audio1
audio2


Для любителей музыки, думаю будет интересно - там порядка 5,5 тыс песен...

Будет время занесу все в базу и сделаю постраничную навигацию, а пока все выводиться одним списком..

Зацените..

NewLifeMan
Когда я захожу на ваш сайт,у меня высвечивается на мониторе
хаос символов например как квадратики
Как тогда зайти туда?И вопрос вас случайно не взломали?

Как зарегестрироваться?Сколько не пробовал,никак не получается!