![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
![[view]](images/icons/view.gif "Bekijk bericht"){kind=icon}
![[quote]](images/icons/oldquote.gif "Quote bericht - Bericht is meer dan 4 weken oud!"){kind=icon}
Door: 
Yo momma's so fat, Dr. Martens had to kill 3 cows just to make her a pair of shoes.
Zonder user input (hetzij via _POST, of via _GET) valt er natuurlijk weinig te exploiten...quote:
Maar misschien zie ik hier gewoon niet veel in, alleen een query is misschien iets te abstract.Enige wat ik kan verzinnen is dat dit niet handig is en dat je misschien beter dit kan doen:
code:
1
| sha1(time() . $strFilename) |
onnovanbraam.com | The Blueprints - Ref. Image Database
You're good, you're real good, but as long as I'm around, you'll always be second best
Bezoek eens een willekeurige pagina
Of help mee met Tweak-City
Ik wili minder Kb's
main() behoeft geen return statement. Maar de return-type is wel altijd int.quote:
Waarom? main() is sowieso een special case (main() mag bijvoorbeeld ook niet aangeroepen worden door eigen code). 'return x' is in feite hetzelfde als 'exit(x)'. Waarom is dát dan geen goede gewoonte om neer te zetten? Als je een return-waarde onzinnig vind maak je 'm void, dat mag bij main() helaas niet. En in main() is geen return is hetzelfde als return 0 - iedere fatsoenlijke C++er weet datquote:
H!GHGuY: de bug is dat CFixedString::buffer nooit wordt afgesloten met een terminating 0. Je had gewoon strcpy() moeten gebruiken ipv strncpy(), wat mogelijk is omdat je de lengte daarvoor toch controleert.
er zit wel een terminating 0 in hoorquote::
[...]
main() behoeft geen return statement. Maar de return-type is wel altijd int.
[...]
Waarom? main() is sowieso een special case (main() mag bijvoorbeeld ook niet aangeroepen worden door eigen code). 'return x' is in feite hetzelfde als 'exit(x)'. Waarom is dát dan geen goede gewoonte om neer te zetten? Als je een return-waarde onzinnig vind maak je 'm void, dat mag bij main() helaas niet. En in main() is geen return is hetzelfde als return 0 - iedere fatsoenlijke C++er weet dat
H!GHGuY: de bug is dat CFixedString::buffer nooit wordt afgesloten met een terminating 0. Je had gewoon strcpy() moeten gebruiken ipv strncpy(), wat mogelijk is omdat je de lengte daarvoor toch controleert.
kijk nog maar eens goed...Ik ben echter niet helemaal zeker dat het voorbeeld 100% klopt, maar mits minimale aanpassingen moet het toch zeker lukken...
Verklap'k em ?
H!GHGuY wijzigde dit bericht 17-05-2008 14:39 (7%)
Yo momma's so fat, Dr. Martens had to kill 3 cows just to make her a pair of shoes.
Yo momma's so fat, Dr. Martens had to kill 3 cows just to make her a pair of shoes.
Op die manier kan het nog steeds mis gaan. Twee users submitted verschillende files met toevallig dezelfde hash waarde. Eerste process queried de database of er duplicates zijn en vindt die niet. Op dat moment kicked het tweede process in, queried ook de database, en vindt ook geen duplicates. Vervolgens gaan ze allebei lekker insert queries draaien, en voila, een duplicate hash.quote:
maw. je moet dan een atomic query maken die eerst select en dan conditioneel insert. Maar dan moet je nieuwe hashes kunnen genereren en loopen in je query: niet handig. Dus moet je je database locken gedurende de tijd dat je select/insert script draait. Dan kan je je site DoS-en door heel veel files te submitten
concurrency exploits zijn natuurlijk ook leuk. Ik kan me wel iets indenken dat een Os een syncrhonized multiple producer/consumer buffer bijhoudt als event queue, maar dat op de simpelete manier met twee semaphores doet. Ik heb geen zin om een voorbeeld te geven, dat wordt te ingewikkeld. Het idee is in ieder geval dat je door een race-conditie naar hetzelfde slot kan schrijven als een ander process, en zo priviliged events zou kunnen faken ....
Zoijar wijzigde dit bericht 17-05-2008 15:48 (32%)
Nou wijs het maar aan dan, want ik zie het niet. strncpy() schrijft maximaal n characters. n is gelijk aan str.size(), dus strncpy() vult buffer met n characters zonder trailing 0.quote::
[...]
er zit wel een terminating 0 in hoor
kloptquote:
Fout, om drie redenen. De vtable pointer staat meestal vooraan in de class, en dus niet achter buffer. Dit is wel zo praktisch omdat typeid() en dynamic_cast ook op void pointers moet kunnen werken. Als de vtable pointer achter buffer staat is het daadwerkelijke type zo goed als niet te achterhalen.quote:
De andere reden is dat ook strncpy() niet altijd n characters kopiëert, maar maximaal n characters. Hij ie een 0 tegenkomt en i<n dan stopt dus gewoon. Je functie kopiëert daarom nooit meer dan 255 tekens door de if die ervoor staat. Als je altijd exact n characters wilt kopiëren moet je memcpy() gebruiken. En sowieso zelf de trailing 0 erachter zetten, want ook strncpy() doet dat niet als er al n characters geschreven zijn.
De derde noemde je zelf al:
Klopt als een busquote:
.oisyn wijzigde dit bericht 17-05-2008 22:11 (8%)
Berichten: 162
Reg. datum: 29 maart 2004
Reg. datum: 29 maart 2004
Berichten: 18
Reg. datum: 02 februari 2001
Reg. datum: 02 februari 2001
En als je even door had gelezen dan was je erachter gekomen dat dat idd de clue was
Het zal je verbazen waar ik allemaal van gehoord hebquote:
Zoals ik al zei, dan moet je een atomic query gebruiken, en dat kan idd middels een transaction. Maar aangezien het hier om kwetsbaarheden ging, merk ik op dat dit niet doen ook vaak een kwestbaarheid kan opleveren. Ik heb genoeg code gezien in het verleden die op deze manier records insert: select max(id) from users, fetch record set $result, insert user met id=$result. (in mijn tijd was MySQL overigens de meest gebruikte database icm web-development, en in de oude versies had je helaas niet de luxe van transaction support)Zoijar wijzigde dit bericht 18-05-2008 11:52 (9%)
niet schieten is altijd misquote::
[...]
Nou wijs het maar aan dan, want ik zie het niet. strncpy() schrijft maximaal n characters. n is gelijk aan str.size(), dus strncpy() vult buffer met n characters zonder trailing 0.
[...]
klopt
[...]
Fout, om drie redenen. De vtable pointer staat meestal vooraan in de class, en dus niet achter buffer. Dit is wel zo praktisch omdat typeid() en dynamic_cast ook op void pointers moet kunnen werken. Als de vtable pointer achter buffer staat is het daadwerkelijke type zo goed als niet te achterhalen.
De andere reden is dat ook strncpy() niet altijd n characters kopiëert, maar maximaal n characters. Hij ie een 0 tegenkomt en i<n dan stopt dus gewoon. Je functie kopiëert daarom nooit meer dan 255 tekens door de if die ervoor staat. Als je altijd exact n characters wilt kopiëren moet je memcpy() gebruiken. En sowieso zelf de trailing 0 erachter zetten, want ook strncpy() doet dat niet als er al n characters geschreven zijn.
De derde noemde je zelf al:
[...]
Klopt als een bus
Leer ik zelf ook gelijk wat bij...
Yo momma's so fat, Dr. Martens had to kill 3 cows just to make her a pair of shoes.
Bezoek eens een willekeurige pagina
Of help mee met Tweak-City
Ik wili minder Kb's
Berichten: 3.652
Reg. datum: 20 maart 2001
Reg. datum: 20 maart 2001
Dankzij het verschil tussen $res en $result gaat daar niets fout, behalve dan dat je een whopping notice krijgt. 
Talkin.nl daily photoblog
Day 1022: Meerkats
Foto specs: Canon 300D, Sigma 70-200 f/2.8 HSM, 1/500s, f/5.0, ISO 400
Het is sowieso niet handig om in de rechtentabel de naam te gebruiken ipv. het userid, is dat wat je bedoeld? Moeten er trouwens geen quotes om True heen? En de haakjes zijn ook overbodig.
offtopic: het adminright=true is ook erg beperkend voor een applicatie...
offtopic: het adminright=true is ook erg beperkend voor een applicatie...
Volgens mij zit er geen fout in? Je kan je registreren als piet" OR 1=1 maar ik denk dat niet eens gaat werken (zowiezo niet als je pietje hard erin bakt).
Dan wordt het meer een "Debug mijn script" topic...quote::
Het is sowieso niet handig om in de rechtentabel de naam te gebruiken ipv. het userid, is dat wat je bedoeld? Moeten er trouwens geen quotes om True heen? En de haakjes zijn ook overbodig.
offtopic: het adminright=true is ook erg beperkend voor een applicatie...
Megamind wijzigde dit bericht 20-05-2008 21:12 (58%)
Tweak-city
Spel- of grammaticafout gevonden? Geef het even door via DM (en ook waarom het fout is).
