[ Voor 49% gewijzigd door frickY op 16-05-2008 23:58 ]
Een array via GET? Kan dat?:
@ChessSpider
Je wilt beweren dat die code een XSS-lek bevat
Je zou hoogstens page als array kunnen inkoppen, waardoor htmlentities een foutmelding geeft. Maar dat is geen exploit.
Yup, XSS lek.:
@ChessSpider
Je wilt beweren dat die code een XSS-lek bevat
Je zou hoogstens page als array kunnen inkoppen, waardoor htmlentities een foutmelding geeft. Maar dat is geen exploit.
[ Voor 29% gewijzigd door ChessSpider op 17-05-2008 00:06 ]
).Als IE7 in de eerste 4096 characters een UTF-7 encoded string vind, terwijl er geen character encoding word meegestuurd, maakt hij er automatisch UTF-7 van.:
Sorry, maar ik ga het nu toch echt (sortof) verklappen (dat is uiteindelijk ook gewoon de bedoeling
Ik snap dat het komt door de character encoding. Wat ik echter niet begrijp is waarom het niet in Fx werkt. Het komt er toch op neer dat als je de page-variabele als UTF-8 verstuurd, htmlentities() deze niet escaped?
1
| +ADw-script+AD4-alert(document.location)+ADw-/script+AD4- |
[ Voor 7% gewijzigd door ChessSpider op 17-05-2008 00:38 ]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| function format_query() { $args = func_get_args(); if(count($args) == 0) die('error'); $query = array_shift($args); $expected_args = substr_count($query, '?'); if(count($args) != $expected_args) { printf('expected %d args, but got %d', $expected_args, count($args)); exit(); } foreach($args as $arg) { // replace next ? with next argument $arg = my_escape($arg); // my_escape is safe for all input $query = preg_replace('#\?#', $arg, $query, 1); } return $query; } |
1
| $sql = format_query("SELECT * FROM table WHERE x = '?' AND y = ?", "foo", 5); |
[ Voor 10% gewijzigd door user109731 op 17-05-2008 08:52 ]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
| class CFixedSizeString { public: CFixedSizeString(const std::string& str) { if (strlen(str.c_str()) > 255) throw "badly sized string"; strncpy(buffer, str.data(), str.size()); } bool operator<(const CFixedSizeString& right) { return strcmp(buffer, right.buffer) < 0; } virtual void print() { std::cout << buffer; } virtual ~CFixedSizeString() { } private: char buffer[256]; }; int main() { std::set<CFixedSizeString> strings; std::string str; CFixedSizeString fsstr; std::cin >> str; while (str != "") { fsstr = CFixedSizeString(str) strings.insert(fsstr); std::cin >> str; } std::cout << "Unieke woorden: " << std::endl; for (std::set<CFixedSizeString>::iterator it = strings.begin(), end = strings.end(); it != end; ++it) { it->print(); std::cout << std::endl; } return 0; } |
ASSUME makes an ASS out of U and ME
[ Voor 58% gewijzigd door Sebazzz op 17-05-2008 10:03 ]
[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]
[ Voor 34% gewijzigd door H!GHGuY op 17-05-2008 10:07 ]
ASSUME makes an ASS out of U and ME
Zonder user input (hetzij via _POST, of via _GET) valt er natuurlijk weinig te exploiten...
Maar misschien zie ik hier gewoon niet veel in, alleen een query is misschien iets te abstract.1
| sha1(time() . $strFilename) |
the-blueprints.com - The largest free blueprint collection on the internet: 50000+ drawings.
main() behoeft geen return statement. Maar de return-type is wel altijd int.
Waarom? main() is sowieso een special case (main() mag bijvoorbeeld ook niet aangeroepen worden door eigen code). 'return x' is in feite hetzelfde als 'exit(x)'. Waarom is dát dan geen goede gewoonte om neer te zetten? Als je een return-waarde onzinnig vind maak je 'm void, dat mag bij main() helaas niet. En in main() is geen return is hetzelfde als return 0 - iedere fatsoenlijke C++er weet dat
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
er zit wel een terminating 0 in hoor:
[...]
main() behoeft geen return statement. Maar de return-type is wel altijd int.
[...]
Waarom? main() is sowieso een special case (main() mag bijvoorbeeld ook niet aangeroepen worden door eigen code). 'return x' is in feite hetzelfde als 'exit(x)'. Waarom is dát dan geen goede gewoonte om neer te zetten? Als je een return-waarde onzinnig vind maak je 'm void, dat mag bij main() helaas niet. En in main() is geen return is hetzelfde als return 0 - iedere fatsoenlijke C++er weet dat
H!GHGuY: de bug is dat CFixedString::buffer nooit wordt afgesloten met een terminating 0. Je had gewoon strcpy() moeten gebruiken ipv strncpy(), wat mogelijk is omdat je de lengte daarvoor toch controleert.
kijk nog maar eens goed...[ Voor 7% gewijzigd door H!GHGuY op 17-05-2008 14:39 ]
ASSUME makes an ASS out of U and ME
Op die manier kan het nog steeds mis gaan. Twee users submitted verschillende files met toevallig dezelfde hash waarde. Eerste process queried de database of er duplicates zijn en vindt die niet. Op dat moment kicked het tweede process in, queried ook de database, en vindt ook geen duplicates. Vervolgens gaan ze allebei lekker insert queries draaien, en voila, een duplicate hash.
[ Voor 32% gewijzigd door Zoijar op 17-05-2008 15:48 ]
Nou wijs het maar aan dan, want ik zie het niet. strncpy() schrijft maximaal n characters. n is gelijk aan str.size(), dus strncpy() vult buffer met n characters zonder trailing 0.:
[...]
er zit wel een terminating 0 in hoor
klopt
Fout, om drie redenen. De vtable pointer staat meestal vooraan in de class, en dus niet achter buffer. Dit is wel zo praktisch omdat typeid() en dynamic_cast ook op void pointers moet kunnen werken. Als de vtable pointer achter buffer staat is het daadwerkelijke type zo goed als niet te achterhalen.
Klopt als een bus
[ Voor 8% gewijzigd door .oisyn op 17-05-2008 22:11 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Het zal je verbazen waar ik allemaal van gehoord heb
Zoals ik al zei, dan moet je een atomic query gebruiken, en dat kan idd middels een transaction. Maar aangezien het hier om kwetsbaarheden ging, merk ik op dat dit niet doen ook vaak een kwestbaarheid kan opleveren. Ik heb genoeg code gezien in het verleden die op deze manier records insert: select max(id) from users, fetch record set $result, insert user met id=$result. (in mijn tijd was MySQL overigens de meest gebruikte database icm web-development, en in de oude versies had je helaas niet de luxe van transaction support)
[ Voor 9% gewijzigd door Zoijar op 18-05-2008 11:52 ]
niet schieten is altijd mis:
[...]
Nou wijs het maar aan dan, want ik zie het niet. strncpy() schrijft maximaal n characters. n is gelijk aan str.size(), dus strncpy() vult buffer met n characters zonder trailing 0.
[...]
klopt
[...]
Fout, om drie redenen. De vtable pointer staat meestal vooraan in de class, en dus niet achter buffer. Dit is wel zo praktisch omdat typeid() en dynamic_cast ook op void pointers moet kunnen werken. Als de vtable pointer achter buffer staat is het daadwerkelijke type zo goed als niet te achterhalen.
De andere reden is dat ook strncpy() niet altijd n characters kopiëert, maar maximaal n characters. Hij ie een 0 tegenkomt en i<n dan stopt dus gewoon. Je functie kopiëert daarom nooit meer dan 255 tekens door de if die ervoor staat. Als je altijd exact n characters wilt kopiëren moet je memcpy() gebruiken. En sowieso zelf de trailing 0 erachter zetten, want ook strncpy() doet dat niet als er al n characters geschreven zijn.
De derde noemde je zelf al:
[...]
Klopt als een bus
ASSUME makes an ASS out of U and ME
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
{signature}
Dan wordt het meer een "Debug mijn script" topic...:
Het is sowieso niet handig om in de rechtentabel de naam te gebruiken ipv. het userid, is dat wat je bedoeld? Moeten er trouwens geen quotes om True heen? En de haakjes zijn ook overbodig.
offtopic: het adminright=true is ook erg beperkend voor een applicatie...
[ Voor 58% gewijzigd door Megamind op 20-05-2008 21:12 ]
En dan gebeurd er niet veel, want al je users hebben een username.
[ Voor 17% gewijzigd door Voutloos op 20-05-2008 21:24 ]
{signature}
[ Voor 20% gewijzigd door Gomez12 op 20-05-2008 21:44 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
username kan toch iets anders zijn als name?:
Maar post dan een voorbeeld script dat relevant is, en niet een script en dan achteraf zeggen, oh maar pietje kan ook iets anders zijn, want dat kan het niet zijn in jou script.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
| <?php // Als voorbeeld definiëer ik dit lokaal, maar zou uit een DB moeten komen o.i.d.. $ThisUserID = 3; // User ID van deze gebruiker. $TargetUserID = 6; // User ID van de begunstigde. (Dit getal mag niet gelijk zijn aan $ThisUserID en moet natuurlijk een bestaande gebruiker zijn. $AccountThisUser = 600; // Het bedrag wat deze gebruiker in bezit heeft. $AccountTargetUser = 420; // Het bedrag wat de andere gebruiker in bezit heeft. if ( isset($_GET["Donate"]) ) { if ( is_numeric($_GET["Donate"]) ) { if ( is_int( intval($_GET["Donate"]) ) ) { $Donation = $_GET["Donate"]; if ( $Donation <= $AccountThisUser ) { $AccountThisUser = $AccountThisUser - $Donation; $AccountTargetUser = $AccountTargetUser + $Donation; } else die("You do not have enough money!"); } else die("Error"); } else die("Error"); } else die("Error"); // En dit moet weer in de DB geschreven worden. echo "Account this user: € ".$AccountThisUser.",--<br>"; echo "Account target user: € ".$AccountTargetUser.",--<br>"; |
Speel ook Balls Connect en Repeat
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Speel ook Balls Connect en Repeat
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Dat hele volkstammen het verschil tussen GET en POST (idempotentie) niet kennen is echt een serieus probleem. Het betreft niet alleen PHP'ers, maar er zijn er wel relatief veel die echt geen snars snappen van HTTP.
{signature}
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!
Veel webshops zijn er vatbaar voor. Kun je een negatief aantal artikelen bestellen. De factuur ziet er vervolgens veelbelovend uit:
Da's snel! Hij was toch niet moeilijk hè?
Maar ik kom zoiets toch weleens vaker tegen. Gelukkig niet met geldbedragen.
Om het af te maken een voorbeeld voorkauwen:
Lees bovenstaand voorbeeld en durf dit dan nog eens te zeggen.
[ Voor 17% gewijzigd door Voutloos op 21-05-2008 10:16 ]
{signature}
Bbbbbaaaaahhhh, al die ifs zijn ten eerste redundant en ten tweede kunnen ze gecombineerd worden. Wat is er mis met:
Laat ik er maar eens een stuk code posten. Voor het gemak weer in PHP.
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| <?php
// Als voorbeeld definiëer ik dit lokaal, maar zou uit een DB moeten komen o.i.d..
$ThisUserID = 3; // User ID van deze gebruiker.
$TargetUserID = 6; // User ID van de begunstigde. (Dit getal mag niet gelijk zijn aan $ThisUserID en moet natuurlijk een bestaande gebruiker zijn.
$AccountThisUser = 600; // Het bedrag wat deze gebruiker in bezit heeft.
$AccountTargetUser = 420; // Het bedrag wat de andere gebruiker in bezit heeft.
$Donation = $_GET["Donate"];
if ( isset($Donation) && is_numeric($Donation) && is_int(intval($Donation)) && ( $Donation <= $AccountThisUser ))
{
$AccountThisUser = $AccountThisUser - $Donation;
$AccountTargetUser = $AccountTargetUser + $Donation;
}
else
die("Error");
// En dit moet weer in de DB geschreven worden.
echo "Account this user: € ".$AccountThisUser.",--<br>";
echo "Account target user: € ".$AccountTargetUser.",--<br>"; |
Wat er mis is met is_int() en is_float() mag je zelf opzoeken in de documentatie
Over het algemeen is er niets mis mee om daar een GET te gebruiken. Je moet in de applicatie sowieso een check doen of de huidige gebruiker wel bij dat id mag komen. Dus als hij het id wil veranderen naar een ander id waar hij ook toegang tot heeft is daar niets mis mee.
[ Voor 50% gewijzigd door .oisyn op 21-05-2008 11:21 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Klopt helemaal.
Speel ook Balls Connect en Repeat
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Omdat PHP zo is ontwikkeld dat het ontzettend veel toelaat, het is ontzettend makkelijk om er mee te werken. Het nadeel daarvan is dus dat er veel exploits mogelijk zijn.:
Waarom alles in PHP?
Doe er wat aan zou ik zeggen:
Waarom alles in PHP?
.oisyn heeft ook al een C++ voorbeeld gepost.
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
1
2
3
| :start echo %1 goto start |
[ Voor 35% gewijzigd door Guillome op 22-05-2008 13:42 ]
If then else matters! - I5 12600KF, Asus Tuf GT501, Asus Tuf OC 3080, Asus Tuf Gaming H670 Pro, 48GB, Corsair RM850X PSU, SN850 1TB, Arctic Liquid Freezer 280, ASUS RT-AX1800U router
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
zucht ....
[ Voor 13% gewijzigd door Guillome op 22-05-2008 15:24 ]
If then else matters! - I5 12600KF, Asus Tuf GT501, Asus Tuf OC 3080, Asus Tuf Gaming H670 Pro, 48GB, Corsair RM850X PSU, SN850 1TB, Arctic Liquid Freezer 280, ASUS RT-AX1800U router
Waarom quote je .oisyn dan? Natuurlijk denkt iedereen dan dat het daar een reactie op is..:
[...]
zucht ....
@hydra: het was als grapje bedoeld op de post boven mij. Zal ik niet weer doen. Sorry, ga maar weer ontopic, das veel interessanter dan zo over een geintje tussendoor te vallen...
eh juist ja ga aub door met het topic, je maakt van de mug alleen maar een grote vage olifant
[ Voor 8% gewijzigd door Guillome op 22-05-2008 16:30 ]
If then else matters! - I5 12600KF, Asus Tuf GT501, Asus Tuf OC 3080, Asus Tuf Gaming H670 Pro, 48GB, Corsair RM850X PSU, SN850 1TB, Arctic Liquid Freezer 280, ASUS RT-AX1800U router
Maar dan nog zijn dit toch echt wel standaard puntjes uit datamodel 101)[ Voor 21% gewijzigd door Voutloos op 23-05-2008 10:27 ]
{signature}
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Voutloos, ik was nog aan het editen
[ Voor 50% gewijzigd door MueR op 29-05-2008 14:24 ]
Anyone who gets in between me and my morning coffee should be insecure.
Je kan hier wellicht gewoon altijd substr() doen, lekker boeiend als je een handjevol calls hebt waarbij de tekst reeds binnen length viel, 't leest wel een stuk eenvoudiger. Zat ik eerst ook aan te denken, maar het is idd vooral verkeerd om.
Yeah right.
[ Voor 37% gewijzigd door Voutloos op 29-05-2008 14:43 ]
{signature}
Escapen is niet generiek, maar doe je voor een bepaalde context. Pas als jij zeker weet welke context altijd gebruikt wordt kan dit een vd bewuste optimalisatie trucs zijn.
[ Voor 12% gewijzigd door Voutloos op 29-05-2008 14:47 ]
{signature}
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community)
:strip_icc():strip_exif()/u/25938/lekkerkontje.jpg?f=community)
:strip_exif()/u/72391/Pinky_and_the_Brain_-_Brain.gif?f=community)
/u/189240/av70.png?f=community)
:strip_icc():strip_exif()/u/77332/crop5e54ec42433bc_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/5964/crop56503163e97a5.jpeg?f=community)
:strip_exif()/u/82642/porsche-993-gt2.gif?f=community)
:strip_icc():strip_exif()/u/67932/387397184.jpg?f=community)
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
:strip_icc():strip_exif()/u/35767/images.jpg?f=community)
:strip_exif()/u/47168/loop.gif?f=community)
:strip_exif()/u/62716/avatar.gif?f=community){kind=avatar}
/u/147751/avatar455992_1.gif.png?f=community){kind=avatar}
:strip_exif()/u/26373/anim4.gif?f=community)
:strip_exif()/u/172480/thunder_small.gif?f=community)
:strip_icc():strip_exif()/u/6697/gerco-icon.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/46177/FoX-icon.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/162759/crop63c596b826c44.jpg?f=community)
/u/122874/crop5e26d7a209cd1_cropped.png?f=community)
/u/20329/donald%2520avatar.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)
/u/12668/hydra.png?f=community)
:strip_exif()/u/261638/Happy2.gif?f=community)
/u/102105/crop56f481fe1f74f.png?f=community)
:strip_exif()/u/27216/bosmonster_dropdown.gif?f=community)